Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'UpdateShield' = '<SYSTEM32>\r2c\mIRC.exe'
- [HKLM\Software\Classes\ChatFile\Shell\open\command] '' = '"%WINDIR%\mirc.exe" -noconnect'
- [HKLM\SOFTWARE\Classes\irc\Shell\open\command] '' = '"%WINDIR%\mirc.exe" -noconnect'
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'WinVistaService' = '%WINDIR%\mirc.exe'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\mirc.ini
- %WINDIR%\remote.ini
- %WINDIR%\mirc.exe
- %WINDIR%\dmu.dll
- %WINDIR%\root.reg
- %WINDIR%\microsoftupdate.bat
- %WINDIR%\run.exe
- %WINDIR%\z29.reg
- %WINDIR%\mirc0.tm_
Удаляет следующие файлы
- %WINDIR%\mirc0.tm_
- %WINDIR%\z29.reg
Сетевая активность
Подключается к
- 'localhost':6667
UDP
- DNS ASK Mi#####ftUpdate.yi.org
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\mirc.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%WINDIR%\MicrosoftUpdate.bat" "
- '%WINDIR%\syswow64\regedit.exe' /s %WINDIR%\root.reg
- '%WINDIR%\syswow64\regedit.exe' /s z29.reg
