Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\AppMgmt] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\klan] 'Start' = '00000002'
Заражает следующие исполняемые системные файлы:
- <SYSTEM32>\appmgmts.dll
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\TempDel.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\P4YW5D0A\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\IYC31JVK\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OP804WFJ\ggb[1].txt
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\W9UFG5YB\desktop.ini
- %TEMP%\TempDel.bat
- %TEMP%\BuilLog.txt
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OP804WFJ\desktop.ini
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\P4YW5D0A\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\W9UFG5YB\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OP804WFJ\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\IYC31JVK\desktop.ini
Перемещает следующие файлы:
- %TEMP%\BuilLog.txt в <DRIVERS>\klan.sys
Самоудаляется.
Сетевая активность:
Подключается к:
- 'tt.##88567.cn':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- tt.##88567.cn/bbs/ggb.txt
UDP:
- DNS ASK tt.##88567.cn
