Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\] 'Userinit' = '<SYSTEM32>\userinit.exe, <SYSTEM32>\inetmon.exe'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\inetmon.exe
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
Сетевая активность
Подключается к
- 'je##wap.com':80
- 'go.##tswap.com':443
- 'x1.#.lencr.org':80
- 'r3.#.lencr.org':80
- 'we##oney.ru':80
- 'fr###kassa.ru':80
- 'dl#.#etswap.net':80
- 'fr###kassa.ru':443
TCP
Запросы HTTP GET
- http://je##wap.com/
- http://je##wap.com/feed.png
- http://je##wap.com/news.js
- http://x1.#.lencr.org/
- http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgM%2Bu5Zndx%2B0WDl4yEMUlFzFag%3D%3D
- http://je##wap.com/livestatus.php
- http://www.fr###kassa.ru/img/fk_btn/16.png
- http://www.we##oney.ru/img/icons/88x31_wm_v_blue_on_white_ru.png
- http://www.we##oney.ru/img/icons/88x31_wm_blue_on_white_ru.png
- http://dl#.#etswap.net/host/hosted.gif
Другие
- 'je##wap.com':443
- 'fr###kassa.ru':443
UDP
- DNS ASK je##wap.com
- DNS ASK go.##tswap.com
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
- DNS ASK fr###kassa.ru
- DNS ASK dl#.#etswap.net
- DNS ASK we##oney.ru
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
