Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\Applications\WScript.exe\shell\Open\Command] '' = ''
Вредоносные функции:
Создает и запускает на исполнение:
- '<Текущая директория>\ext.exe'
- '<Текущая директория>\fsetup.exe' 67f7fb873eaf29526a11a9b7ac33bfac www.bo####hockey.net 2
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%PROGRAM_FILES%\lpd\lpd\obleat.bat" "
- '<SYSTEM32>\wscript.exe' "%PROGRAM_FILES%\lpd\lpd\mne_nada.vbs"
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\fsetup.exe.bat" fsetup.exe 67f7fb873eaf29526a11a9b7ac33bfac www.bo####hockey.net 2"
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\ext.exe.bat" ext.exe "
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\lpd\lpd\obleat.bat
- %PROGRAM_FILES%\lpd\lpd\oshka.txt
- %PROGRAM_FILES%\lpd\lpd\mne_nada.vbs
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\download_dll[1].htm
- %PROGRAM_FILES%\lpd\lpd\razobratsa.vbs
- <Текущая директория>\ext.exe
- <Текущая директория>\fsetup.exe
- %TEMP%\$inst\2.tmp
- %PROGRAM_FILES%\lpd\lpd\main.txt
- %TEMP%\$inst\temp_0.tmp
Удаляет следующие файлы:
- <Текущая директория>\ext.exe
- <Текущая директория>\fsetup.exe
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'www.bo####hockey.net':80
UDP:
- DNS ASK www.bo####hockey.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
