Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'ip???.exe' = '<Текущая директория>\ip???.exe'
Вредоносные функции:
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\alg.exe
- <SYSTEM32>\ctfmon.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\ip.dll
- <SYSTEM32>\att.ini
- <Текущая директория>\jc.txt
Другое:
Ищет следующие окна:
- ClassName: '#32770' WindowName: 'Tiny H-Pot v1.7'
- ClassName: '#32770' WindowName: '<Служебное имя>'
- ClassName: '#32770' WindowName: '<SYSTEM32>\cscript.exe'
- ClassName: '#32770' WindowName: 'Connections Tray'
- ClassName: '#32770' WindowName: 'Program Manager'
- ClassName: '#32770' WindowName: 'MS_WebcheckMonitor'
- ClassName: '#32770' WindowName: 'Power Meter'
- ClassName: '#32770' WindowName: '<WINDOWS_KILLER>'
- ClassName: '#32770' WindowName: 'CiceroUIWndFrame'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: '#32770' WindowName: 'TF_FloatingLangBar_WndTitle'
- ClassName: '#32770' WindowName: '<Служебное имя> - build Mar 22 2011'
- ClassName: '#32770' WindowName: 'autoip'
- ClassName: '#32770' WindowName: 'ip??????(1.55??)'
