Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'svchostt' = 'svchostt.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
Изменения в файловой системе:
Создает следующие файлы:
- C:\min+sec-%USERNAME%.txt
- <Текущая директория>\sd.txt
- C:\%USERNAME%-lastdate-booker-uploaded.dat
- C:\version-diamain%USERNAME%.txt
- <Текущая директория>\sil-ver.dat
- C:\lastRecoredHourofCashout.dat
- <Текущая директория>\version-diamain.dat
Сетевая активность:
Подключается к:
- 'www.do####lsoftware.ca':80
- 'www.sa####arketing.ca':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- www.sa####arketing.ca/diaclients/dia-standard.php
- www.sa####arketing.ca/diaclients/dia-reportallactivesubscriptions.php?co#######################
- www.sa####arketing.ca/dia-book.php?cn####################################################################################
- www.sa####arketing.ca/diaclients/doitallmain.exe?gy################
- www.do####lsoftware.ca/book.dat?ft#########
UDP:
- DNS ASK www.do####lsoftware.ca
- DNS ASK www.sa####arketing.ca
