Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'Windows Logon Service' = '"%APPDATA%\W3Help\winlogonz.exe"'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'Windows Logon Service' = '"%APPDATA%\W3Help\winlogonz.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{4175C5F3-D47F-143B-DD4D-E67A0EB4E773}] 'StubPath' = '"%APPDATA%\W3Help\winlogonz.exe"'
- [<HKCU>\Software\Microsoft\Active Setup\Installed Components\{4175C5F3-D47F-143B-DD4D-E67A0EB4E773}] 'StubPath' = '"%APPDATA%\W3Help\winlogonz.exe"'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Создает и запускает на исполнение:
- '%APPDATA%\W3Help\winlogonz.exe' /del <Полный путь к вирусу>
Изменения в файловой системе:
Создает следующие файлы:
- C:\RECYCLER\blaze.vmx
- %APPDATA%\W3Help\winlogonz.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\RECYCLER\blaze.vmx
- %APPDATA%\W3Help\winlogonz.exe
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'cr###r0x.net':1234
- 'bl####.izthewiz.net':1234
- 'bl#.#rkrxer.net':1234
UDP:
- DNS ASK cr###r0x.net
- DNS ASK bl####.izthewiz.net
- DNS ASK bl#.#rkrxer.net
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: 'System Configuration Utility'
- ClassName: '(null)' WindowName: 'Registry Editor'
- ClassName: 'HijackThis' WindowName: '(null)'
