Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe %WINDIR%\WindowsXP.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\sprint.exe
- %WINDIR%\windowsxp.exe
- %WINDIR%\up4.txt
Сетевая активность
Подключается к
- 'su####surplus.com':80
UDP
- DNS ASK su####surplus.com
- DNS ASK so####rld.com.vn
- DNS ASK se####oid.com.br
- DNS ASK na###owice.com
- DNS ASK pr###ndng.com
Другое
Ищет следующие окна
- ClassName: 'OpWindow' WindowName: ''
- ClassName: 'MozillaUIWindowClass' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\sprint.exe'
Запускает на исполнение
- '%TEMP%\ixp000.tmp\sprint.exe' (со скрытым окном)
