Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'yahoo' = '%WINDIR%\<Имя вируса>.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\<Имя вируса>.exe'
Запускает на исполнение:
- '<SYSTEM32>\netstat.exe'
- '<SYSTEM32>\ipconfig.exe' /all
- '<SYSTEM32>\cmd.exe' /c %WINDIR%\tgsadr.bat
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\t7.txt
- %WINDIR%\t6.txt
- %WINDIR%\tgsadr.txt
- %WINDIR%\dir.txt
- %WINDIR%\t3.txt
- %WINDIR%\<Имя вируса>.exe
- %WINDIR%\t1.txt
- %WINDIR%\tgsadr.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\<Имя вируса>.exe
Удаляет следующие файлы:
- %WINDIR%\OEWABLog.txt
- %WINDIR%\tgsadr.txt
- %WINDIR%\dir.txt
- %TEMP%\~DF8390.tmp
- %WINDIR%\tgsadr.bat
Сетевая активность:
Подключается к:
- 'sm##.gmail.com':465
UDP:
- DNS ASK sm##.gmail.com
