Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{f92B23AB-A707-22d2-9CBD-0000F87A469H}] 'StubPath' = '%ALLUSERSPROFILE%\MAAASSS.exe'
- [<HKLM>\SOFTWARE\Classes\url|chm|vbs\Shell\Open\Command] '' = '"%PROGRAM_FILES%\Windows NT\hypertrm.exe" "%1"'
- [<HKLM>\SOFTWARE\Classes\ini\Shell\Open\Command] '' = '"%PROGRAM_FILES%\Windows Media Player\mplayer2.exe" "%1"'
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\dllcache\mplayer2.exe файлом <SYSTEM32>\dllcache\mplayer2.exe.new
Заражает следующие исполняемые файлы:
- %PROGRAM_FILES%\Windows Media Player\mplayer2.exe.new
- <SYSTEM32>\dllcache\mplayer2.exe.new
- %PROGRAM_FILES%\Windows Media Player\mplayer2.exe
- %PROGRAM_FILES%\Windows NT\hypertrm.exe
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\Documents and Settings\Tempp.exe'
- '%ALLUSERSPROFILE%\MAAASSS.exe' -a
- '%PROGRAM_FILES%\VIPP.exe'
- '%ALLUSERSPROFILE%\MAAASSS.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\top[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\welcome[1].htm
- C:\Documents and Settings\Tempp.exe
- %PROGRAM_FILES%\VIPP.exe
- %ALLUSERSPROFILE%\MAAASSS.exe
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'mu.##oren.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- mu.##oren.com/xunlei/welcome.htm
- mu.##oren.com/xunlei/top.htm
UDP:
- DNS ASK mu.##oren.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
