Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Ism' = '%WINDIR%\Ism.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\Ism.exe'
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' "<Полный путь к вирусу>" -h -r -s
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\Kill.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Tabctl32.OCX
- <Текущая директория>\Kill.bat
- <SYSTEM32>\MSCOMCTL.OCX
- %WINDIR%\Ism.exe
- <SYSTEM32>\MSWINSCK.OCX
- <SYSTEM32>\zlib.dll
Удаляет следующие файлы:
- %TEMP%\~DF150E.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- 'bl##.naver.com':80
- 'ph#####0803.codns.com':4569
- 'cf#####0.uf.daum.net':80
- 'cf#####3.uf.daum.net':80
- 'cf#####8.uf.daum.net':80
TCP:
Запросы HTTP GET:
- cf#####0.uf.daum.net/attach/167F9D43507029503046F4
- bl##.naver.com/PostView.nhn?bl############################################################################################################################################################################################
- cf#####0.uf.daum.net/attach/140F5B435070293B1CEF12
- cf#####3.uf.daum.net/attach/11649840503489AF30BAAA
- cf#####8.uf.daum.net/attach/117C4C40503489B0115F8F
UDP:
- DNS ASK bl##.naver.com
- DNS ASK ph#####0803.codns.com
- DNS ASK cf#####0.uf.daum.net
- DNS ASK cf#####3.uf.daum.net
- DNS ASK cf#####8.uf.daum.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
