Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""<SYSTEM32>\deltmp.bat" "
- '<SYSTEM32>\rasphone.exe' -d 宽带连接
- '<SYSTEM32>\regsvr32.exe' /s <SYSTEM32>\dm.dll
- '<SYSTEM32>\regsvr32.exe' MSWINSCK.OCX /s
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YFYVABUN\desktop.ini
- <Текущая директория>\IPset.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\85678DA7\desktop.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\CYTETMVS\desktop.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\QNMZ2P6H\desktop.ini
- <SYSTEM32>\dm.dll
- <SYSTEM32>\dnf222.txt
- <SYSTEM32>\volumeid.exe
- <SYSTEM32>\deltmp.bat
- <SYSTEM32>\dialupass.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\QNMZ2P6H\desktop.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\CYTETMVS\desktop.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YFYVABUN\desktop.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\85678DA7\desktop.ini
Сетевая активность:
Подключается к:
- '<IP-адрес в локальной сети>':81
- 'localhost':1044
UDP:
- DNS ASK www.so##.com
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: 'Microsoft Windows'
- ClassName: '(null)' WindowName: 'Madu.exe'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: '(null)' WindowName: 'qqlogin.exe'
