Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run] '' = '%CommonProgramFiles%\taskmmgr.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\system\svch0st.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\server[1].txt
- %WINDIR%\system\svch0st.TXT
- <SYSTEM32>\sysxpl.dll
- <SYSTEM32>\sysx.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\log[1].txt
- %WINDIR%\system\<Имя вируса>.TXT
- <SYSTEM32>\ijl11.dll
- %CommonProgramFiles%\taskmmgr.exe
- %WINDIR%\system\svch0st.exe
Удаляет следующие файлы:
- %TEMP%\~DF2460.tmp
Сетевая активность:
Подключается к:
- 'ro######.100webspace.net':80
- 'me####s.lycos.co.uk':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- ro######.100webspace.net/hk/log.txt
- me####s.lycos.co.uk/jumper2008/server.txt
UDP:
- DNS ASK ro######.100webspace.net
- DNS ASK me####s.lycos.co.uk
Другое:
Ищет следующие окна:
- ClassName: 'atlaxwin71' WindowName: ''
- ClassName: '#32770' WindowName: ''
- ClassName: 'richedit20a' WindowName: ''
- ClassName: 'DlgGroupChat Window Class' WindowName: ''
- ClassName: 'wtl_splitterwindow' WindowName: ''
- ClassName: 'atl:007235a8' WindowName: ''
