Техническая информация
Вредоносные функции:
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: <Текущая директория>\cfgdll.dll
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'RegmonClass' WindowName: '(null)'
- ClassName: 'PROCMON_WINDOW_CLASS' WindowName: '(null)'
- ClassName: 'FilemonClass' WindowName: '(null)'
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\ShieldModule.dat
- <Текущая директория>\cfgdll.dll
- %APPDATA%\mymacro\qdisp.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\Q09040[1].htm
- <Текущая директория>\<Имя вируса>.ini
- %TEMP%\mymacro.zip
- %TEMP%\mac2.tmp
- %TEMP%\mac1.tmp
- %TEMP%\plugin.zip
- <Текущая директория>\plugin\FILE.DLL
- <Текущая директория>\plugin\WEB.DLL
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\Q09040[1].htm
- %TEMP%\mymacro.zip
- %TEMP%\plugin.zip
Сетевая активность:
Подключается к:
- 'c.###huoa.com':80
TCP:
Запросы HTTP GET:
- c.###huoa.com/c2/MymacroidSalesUrl.aspx?my#######################
- c.###huoa.com/banner/Q09040.htm
UDP:
- DNS ASK c.###huoa.com
Другое:
Ищет следующие окна:
- ClassName: '18467-41' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: '(null)' WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
- ClassName: '(null)' WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: '(null)' WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
