Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'cmssSystemProcess' = '<SYSTEM32>\csmss.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\csmss.exe'
Завершает или пытается завершить
следующие пользовательские процессы:
- zapro.exe
- ZONEALARM.EXE
- outpost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\countxyz[1].php
- <SYSTEM32>\csmss.exe
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\countxyz[1].php
Сетевая активность:
Подключается к:
- 'pr###org.biz':80
- 'ex###dos.biz':80
- 'go####pstart.biz':80
- 'zo####oolboy.biz':80
- 'br####yrulez.biz':80
- 'ca##ar.biz':80
- 'br####ondcop.biz':80
- 'ch###rashka.biz':80
- 'nl###siness.biz':80
- 'zo###ulez.biz':80
- 'av###top.biz':80
- 'zu##dep.biz':80
TCP:
Запросы HTTP GET:
- pr###org.biz/countxyz.php
- ex###dos.biz/affiliates/?Re################
- go####pstart.biz/countxyz.php
- zo####oolboy.biz/affiliates/?Re################
- br####yrulez.biz/countxyz.php
- ca##ar.biz/affiliates/?Re################
- br####ondcop.biz/countxyz.php
- ch###rashka.biz/affiliates/?Re################
- nl###siness.biz/countxyz.php
- zo###ulez.biz/affiliates/?Re################
- av###top.biz/countxyz.php
- zu##dep.biz/affiliates/?Re################
UDP:
- DNS ASK pr###org.biz
- DNS ASK ex###dos.biz
- DNS ASK go####pstart.biz
- DNS ASK zo####oolboy.biz
- DNS ASK br####yrulez.biz
- DNS ASK ca##ar.biz
- DNS ASK br####ondcop.biz
- DNS ASK ch###rashka.biz
- DNS ASK nl###siness.biz
- DNS ASK zo###ulez.biz
- DNS ASK av###top.biz
- DNS ASK zu##dep.biz
