Техническая информация
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'Load' = '<SYSTEM32>\Microsoft.com'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, %PROGRAM_FILES%\Microsoft Services\symgr.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, %PROGRAM_FILES%\Microsoft Services\symgr.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\svchost] 'Start' = '00000002'
- скрытых файлов
- '%APPDATA%\gen32.exe'
- '%APPDATA%\wd.exe'
- '%PROGRAM_FILES%\Microsoft Services\symgr.exe'
- '%APPDATA%\gen32.exe' (загружен из сети Интернет)
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- <SYSTEM32>\Microsoft.com
- %APPDATA%\gen32.exe
- %PROGRAM_FILES%\Microsoft Services\symgr.exe
- %APPDATA%\wd.exe
- <SYSTEM32>\Microsoft.com
- <Полный путь к вирусу>
- из <Полный путь к вирусу> в %TEMP%\1144
- 'ga###omp.net':80
- 'wp#d':80
- ga###omp.net/version.html
- ga###omp.net/gen32.exe
- wp#d/wpad.dat
- DNS ASK ga###omp.net
- DNS ASK wp#d