Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'SpeakerLocker' = '"<Полный путь к вирусу>" -startup'
Вредоносные функции:
Создает и запускает на исполнение:
- '<Текущая директория>\gns_maintain.exe' <Имя вируса>.exe
- '<Текущая директория>\gns_volhost.exe' -gurdian <Имя вируса>.exe
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\gns_maintain.exe
- <Текущая директория>\gns_volhost.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Текущая директория>\gns_volhost.exe
Удаляет следующие файлы:
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
Сетевая активность:
Подключается к:
- 'gr####aturesoft.com':80
TCP:
Запросы HTTP GET:
- gr####aturesoft.com/update/speaker_locker/update.php?vs##
- gr####aturesoft.com/activation/get_price.php?pi###
- gr####aturesoft.com/activation/nausage.php?pi##########################################################################################
UDP:
- DNS ASK gr####aturesoft.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
