Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- <Служебный элемент>
- [<HKLM>\SOFTWARE\Classes\https\shell\open\command] '' = '"<Полный путь к вирусу>" "%1"'
- [<HKLM>\SOFTWARE\Clients\StartMenuInternet\<Служебное имя>.exe\shell\open\command] '' = '<Полный путь к вирусу>'
- [<HKLM>\SOFTWARE\Classes\ftp\shell\open\command] '' = '"<Полный путь к вирусу>" "%1"'
- [<HKLM>\SOFTWARE\Classes\InternetShortcut\shell\open\command] '' = '"<Полный путь к вирусу>" "%1"'
- [<HKLM>\SOFTWARE\Classes\htmlfile\shell\open\command] '' = '"<Полный путь к вирусу>" "%1"'
- [<HKLM>\SOFTWARE\Classes\HTTP\shell\open\command] '' = '"<Полный путь к вирусу>" "%1"'
- [<HKLM>\SOFTWARE\Classes\mhtmlfile\shell\open\command] '' = '"<Полный путь к вирусу>" "%1"'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\index[1].php
- <Текущая директория>\profile\Defaults\aconf.dat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\stat[1].php
- <Текущая директория>\profile\Defaults\last.ini
- %WINDIR%\config.ini
- <Текущая директория>\profile\Defaults\config.ini
- <Текущая директория>\profile\Defaults\CommandBars.ini
Сетевая активность:
Подключается к:
- 'st##.51iie.com':80
- 'www.51##e.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- st##.51iie.com/stat.php?op##
- www.51##e.com/anzhuang/iiead/index.php?do###########
UDP:
- DNS ASK st##.51iie.com
- DNS ASK www.51##e.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'IIEFrame' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
