Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '44a5d9b18d5c' = '%APPDATA%\Roaming\ICQM\ICQ\smiles\store\stickers\95\12\winlogon.exe'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\DllHost.exe
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '2500' = '00000003'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1609' = '00000003'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1406' = '00000003'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Roaming\Mozilla\Firefox\Profiles\fzv9i9tr.default\user.js
- %APPDATA%\Roaming\ICQM\ICQ\smiles\store\stickers\95\12\winlogon.exe
Самоудаляется.
Сетевая активность:
UDP:
- DNS ASK iv#####9y8g.iestats.cc
- DNS ASK fs#######difijqou.ieguards.su
- DNS ASK g3######4i3ypkld.iestats.cc
- DNS ASK 12######okf6s.iestats.cc
- DNS ASK ye####.ieguards.su
- DNS ASK 6h######w268x21.ehistats.su
- DNS ASK hr#####m9d.iestats.cc
- DNS ASK oe#####3.ieguards.su
- DNS ASK 5j#####82h5.ieguards.su
- DNS ASK dn#.##ftncsi.com
- DNS ASK ye####a.ieguards.su
- DNS ASK 7x######x6o0bj.ehistats.su
- DNS ASK 81####il.iestats.cc
- DNS ASK uw######rgeqt6.ehistats.su
- DNS ASK t0#####k.ehistats.su
- DNS ASK rx######rpgm34c.iestats.cc
- DNS ASK 9s#####q.ehistats.su
- DNS ASK kq#####0wo.ehistats.su
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
