Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\AAQZYQ.job
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\rsopg.exe' "<SYSTEM32>\rsopg.exe",Htfqyq
Запускает на исполнение:
- '<SYSTEM32>\ipconfig.exe' /flushdns
Изменения в файловой системе:
Создает следующие файлы:
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\K9R0ZZT4\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6PM9STUD\desktop.ini
- %TEMP%\~unins296.bat
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KLYJOL23\desktop.ini
- <SYSTEM32>\rsopg.exe
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\XNDNZMPQ\desktop.ini
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KLYJOL23\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\K9R0ZZT4\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6PM9STUD\desktop.ini
- %WINDIR%\Tasks\AAQZYQ.job
- <SYSTEM32>\rsopg.exe
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\XNDNZMPQ\desktop.ini
Удаляет следующие файлы:
- <SYSTEM32>\Restore\MachineGuid.txt
Изменяет файл HOSTS.
Самоудаляется.
Сетевая активность:
Подключается к:
- 'im###hut4.cn':80
- 'wi###ounter.net':80
TCP:
Запросы HTTP GET:
- im###hut4.cn/update/utu.dat
UDP:
- DNS ASK im###hut4.cn
- DNS ASK wi###ounter.net
