Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe] 'Debugger' = '<SYSTEM32>\merfwci.exe'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\merfwci.exe
- %WINDIR%\system\inetmon.vbs
- %APPDATA%\microsoft\windows\privacie\index.dat
Сетевая активность
Подключается к
- 'go.##tswap.com':80
- 'je##wap.com':443
- 'x1.#.lencr.org':80
TCP
Запросы HTTP GET
- http://go.##tswap.com/
- http://je##wap.com/
- http://je##wap.com/feed.png
- http://je##wap.com/news.js
- http://x1.#.lencr.org/
Другие
- 'go.##tswap.com':443
UDP
- DNS ASK go.##tswap.com
- DNS ASK je##wap.com
- DNS ASK x1.#.lencr.org
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%WINDIR%\system\inetmon.vbs"
