Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'CTFM0N' = '%WINDIR%\system\SVCH0ST.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\system\SVCHOST.exe'
- '%TEMP%\dpwskck1.exe'
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /s 3.reg
- '%WINDIR%\regedit.exe' /s 2.reg
- '%WINDIR%\regedit.exe' /s 1.reg
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoInternetIcon' = '00000001'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\system\SVCHOST.exe
- %TEMP%\dpwskck1.exe
- %WINDIR%\system\MSINET.OCX
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\time[1].html
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\in-6diq[1].html
- %HOMEPATH%\Start Menu\Жф¶Ї Internet Explorer дЇААЖч.url
- %HOMEPATH%\Favorites\НшЦ·Ц®јТ.url
- %TEMP%\1.reg
- %TEMP%\3.reg
- %TEMP%\2.reg
Сетевая активность:
Подключается к:
- 'www.55##.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- www.55##.com/1/time.html
- www.55##.com/1/in-6diq.html
UDP:
- DNS ASK www.55##.com
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
