Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Internet_Explorer.exe' = '<SYSTEM32>\Internet_Explorer.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\startt
Изменения в файловой системе
Создает следующие файлы
- C:\autoexec.bat
- %WINDIR%\syswow64\internet_explorer.exe
- C:\01851.tmp
Сетевая активность
Подключается к
- 'ar######house.kinghost.net':80
TCP
Запросы HTTP POST
- http://www.ar######house.kinghost.net/acessos/en.php
UDP
- DNS ASK ar######house.kinghost.net
Другое
Ищет следующие окна
- ClassName: 'NDDEAgnt' WindowName: 'NetDDE Agent'
- ClassName: '' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'Shell DocObject View' WindowName: ''
- ClassName: 'TabWindowClass' WindowName: ''
- ClassName: 'Internet Explorer_Server' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /tn startt /tr %WINDIR%/autoexec.bat /sc onstart /ru system' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /tn startt /tr %WINDIR%/autoexec.bat /sc onstart /ru system
