Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\<Имя вируса>.lnk
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:Protocole UDP-TCP'
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall add portopening UDP 23000"Protocole UDP UDP"
- '<SYSTEM32>\netsh.exe' firewall add portopening TCP 23000"Protocole TCP TCP"
- '<SYSTEM32>\netsh.exe' firewall add portopening TCP 6711"Protocole TCP TCP"
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "<Полный путь к вирусу>" "Protocole UDP-TCP" enable
- '<SYSTEM32>\netsh.exe' firewall add portopening UDP 6711"Protocole UDP UDP"
Изменения в файловой системе:
Присваивает атрибут 'скрытый' для следующих файлов:
- <Полный путь к вирусу>
Сетевая активность:
Подключается к:
- 'ft#.#mchile.org':21
UDP:
- DNS ASK ft#.#mchile.org
