Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\BITS] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\Garss.exe "C:\Documents and Settings\QQCRT.DLL" Main
- C:\ЗїЧіУВКї.exe
- C:\Server.exe
Запускает на исполнение:
- %WINDIR%\regedit.exe /s C:\1.reg
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\DNFzhuang[1].html
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\6688wg[1]
- C:\1.reg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\DNFjuexing[1].html
- C:\ЗїЧіУВКї.exe
- C:\Server.exe
- %TEMP%\113656_res.tmp
- %PROGRAM_FILES%\Garss.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\ЗїЧіУВКї.exe
- C:\Server.exe
Удаляет следующие файлы:
- C:\1.reg
Сетевая активность:
Подключается к:
- 'we####20tt.gicp.net':8050
- 'www.66##wg.com':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- www.66##wg.com/DNFjuexing.html
- www.66##wg.com/DNFzhuang.html
- www.66##wg.com/
UDP:
- DNS ASK we####20tt.gicp.net
- DNS ASK www.66##wg.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
