Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'run' = 'c:\apicgysry\start.lnk'
Создает или изменяет следующие файлы:
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\start.lnk
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\apicgysry\csrss.exe' "c:\apicgysry\mydat.dll",InitSkin
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\plus[1].php
- C:\apicgysry\data.mdb
- C:\apicgysry\start.lnk
- C:\apicgysry\mydat.dll
- C:\apicgysry\csrss.exe
Удаляет следующие файлы:
- <DRIVERS>\etc\hosts
- C:\apicgysry\data.mdb
Сетевая активность:
Подключается к:
- 'qe##f.com':8088
- 'any':8088
- 'qe##f.com':80
TCP:
Запросы HTTP GET:
- qe##f.com/plus.php
UDP:
- DNS ASK qq#.#esff.com
- DNS ASK qe##f.com
