Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'shell' = '%APPDATA%\i.ini,explorer.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\i.ini
- %WINDIR%\lnijt.tmm
- %WINDIR%\abw.knm
Самоудаляется.
Сетевая активность:
Подключается к:
- 'qm###cfvnwo.biz':80
- 'cg###kovv.biz':80
- 'yj####dxygu.info':80
- 'oq##vu.com':80
- 'te###o5room.ru':80
- 'gp###rnln.ru':80
- 'ry##jz.com':80
TCP:
Запросы HTTP POST:
- oq##vu.com/wPIAqn?Bu##############################################
- ry##jz.com/ozrWj6ju?my##############################################################
- qm###cfvnwo.biz/w7G98uY?XU##############################
- yj####dxygu.info/2POB6vu?yP##########################
- cg###kovv.biz/Mwajq1?jn############################################################################################
- te###o5room.ru/K9Xiex7av?ev#########################################
- te###o5room.ru/I5Vpdw3iv?LW######################################################################
- te###o5room.ru/n3QQvw?Re########################################
- gp###rnln.ru/SnKCtq?rW################################################################
- te###o5room.ru/KyzEp65dn?Eh####################################################
UDP:
- DNS ASK qm###cfvnwo.biz
- DNS ASK oq##vu.com
- DNS ASK yj####dxygu.info
- DNS ASK cg###kovv.biz
- DNS ASK te###o5room.ru
- DNS ASK microsoft.com
- DNS ASK ry##jz.com
- DNS ASK gp###rnln.ru
