Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\Autorun.inf
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\iexplorer.exe'
- '<SYSTEM32>\iexplorer.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' localgroup "Remote desktop users" merissi /add
- '<SYSTEM32>\net1.exe' localgroup "Utilisateurs du Bureau р distance" merissi /add
- '<SYSTEM32>\netsh.exe' firewall set allowedprogram <SYSTEM32>\tlntsvr.exe iexplorer enable
- '<SYSTEM32>\net1.exe' localgroup %USERNAME%s merissi /add
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\merissi.bat
- '<SYSTEM32>\net1.exe' user merissi merissi /add
- '<SYSTEM32>\net1.exe' localgroup administrateurs merissi /add
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\iexplorer.exe
- <SYSTEM32>\merissi.bat
- <SYSTEM32>\MyPhoto.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\MyPhoto.exe
- <Имя диска съемного носителя>:\Autorun.inf
Удаляет следующие файлы:
- <Имя диска съемного носителя>:\Autorun.inf
Сетевая активность:
Подключается к:
- 'ah###d602.96.lt':80
TCP:
Запросы HTTP GET:
- ah###d602.96.lt/iexplorer.exe
UDP:
- DNS ASK www.ah###d602.96.lt
- DNS ASK ah###d602.96.lt
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'TApplication' WindowName: '<Имя вируса>'
