Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe <SYSTEM32>\load32.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'load32' = '<SYSTEM32>\load32.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\load32.exe'
Запускает на исполнение:
- '<SYSTEM32>\wermgr.exe' -queuereporting
- '<SYSTEM32>\taskhost.exe' $(Arg0)
Изменения в файловой системе:
Создает следующие файлы:
- C:\ProgramData\Microsoft\RAC\Temp\sql8516.tmp
- C:\ProgramData\Microsoft\RAC\Temp\sql8536.tmp
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\YF7T7AK2\IE9CompatViewList[1].xml
- C:\ProgramData\Microsoft\RAC\Temp\sqlC62C.tmp
- C:\ProgramData\Microsoft\RAC\Temp\sqlC60C.tmp
- <SYSTEM32>\shlapiv.dll
- <SYSTEM32>\load32.exe
- <SYSTEM32>\prune.dll
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\fwlink[1]
Удаляет следующие файлы:
- C:\ProgramData\Microsoft\RAC\Temp\sql8516.tmp
- C:\ProgramData\Microsoft\RAC\Temp\sql8536.tmp
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- '20#.#6.232.182':443
- 'localhost':54747
- 'localhost':58919
- '20#.#6.232.182':80
TCP:
Запросы HTTP GET:
- 20#.#6.232.182/IE9CompatViewList.xml
- 20#.#6.232.182/fwlink/?Li##########
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK ie######t.ie.microsoft.com
- DNS ASK go.###rosoft.com
- DNS ASK ur#.##crosoft.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebCheckMonitor' WindowName: '(null)'
- ClassName: 'OleMainThreadWndClass' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
