Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{8EJQ2B50-QLY1-H812-84RA-Q4Q4ID154O30}] 'StubPath' = ''
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'winxp' = ''
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\winxp.exe'
- '%TEMP%\RarSFX1\server.exe'
- '%TEMP%\RarSFX0\server.sfx.exe' -p123 -%HOMEPATH%\Local Settings\Temp
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\RarSFX0\dl.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\Windows\L5WGa94D.cfg
- %WINDIR%\winxp.exe
- %APPDATA%\Microsoft\Windows\L5WGa94D.dat
- %TEMP%\RarSFX0\dl.bat
- %TEMP%\RarSFX0\server.sfx.exe
- %TEMP%\RarSFX1\server.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\Microsoft\Windows\L5WGa94D.dat
- %APPDATA%\Microsoft\Windows\L5WGa94D.cfg
Сетевая активность:
Подключается к:
- 'de####sa.zapto.org':5002
- 'localhost':1037
UDP:
- DNS ASK de####sa.zapto.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
