Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'taskmgr.exe' = '"%WINDIR%\taskmgr.exe" /minimized'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\dr_optimization_v4.0.30318_32] 'Start' = '00000002'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:UPnP'
Создает и запускает на исполнение:
- '%WINDIR%\taskmgr.exe' /installed <Полный путь к вирусу>
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\taskkill.exe' -f -im <Имя вируса>.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\ds_arj\%USERNAME%\fhk4.tmp
- %TEMP%\ds_arj\%USERNAME%\cbhk4.tmp
- %WINDIR%\taskmgr.exe
- %HOMEPATH%\NTUSER.LOG
Удаляет следующие файлы:
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
Сетевая активность:
Подключается к:
- 'hi##.#evizor.msk.ru':80
TCP:
Запросы HTTP GET:
- hi##.#evizor.msk.ru/hive_chksz.php?id############################################
- hi##.#evizor.msk.ru/ads_redir.php
- hi##.#evizor.msk.ru/hive_chksz.php?id##########################################
UDP:
- DNS ASK hi##.#evizor.msk.ru
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
