Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Trojan Killer (32-bit)' = '"<Полный путь к вирусу>" -startupscan '
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\Gridinsoft\Trojan Killer\database\vs.c
Сетевая активность:
Подключается к:
- 'bi##.##tivirus-lab.com':80
- 'gr###nsoft.com':80
- 'tr####-killer.net':80
- 'tr####-killer.com':80
TCP:
Запросы HTTP GET:
- tr####-killer.net/bases_info.php
- tr####-killer.com/price.php
- tr####-killer.net/check_ver.php?ve######
Запросы HTTP POST:
- gr###nsoft.com/error.php?p=###########
- bi##.##tivirus-lab.com/stats/?p=##############
UDP:
- DNS ASK bi##.##tivirus-lab.com
- DNS ASK gr###nsoft.com
- DNS ASK tr####-killer.net
- DNS ASK tr####-killer.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'msctls_updown32' WindowName: ''
