Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'gf124gfhfgj' = '<Полный путь к вирусу>'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\hrl2.tmp'
Изменения в файловой системе:
Создает следующие файлы:
- %CommonProgramFiles%\Microsoft Shared\DW\lpk.dll
- C:\Far2\lpk.dll
- %CommonProgramFiles%\Microsoft Shared\Speech\lpk.dll
- %CommonProgramFiles%\Microsoft Shared\MSInfo\lpk.dll
- C:\RCX1.tmp
- <Текущая директория>\hra101.dll
- <Текущая директория>\lpk.dll
- %TEMP%\hrl2.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- %CommonProgramFiles%\Microsoft Shared\MSInfo\lpk.dll
- %CommonProgramFiles%\Microsoft Shared\Speech\lpk.dll
- %CommonProgramFiles%\Microsoft Shared\DW\lpk.dll
- <Текущая директория>\lpk.dll
- C:\Far2\lpk.dll
Удаляет следующие файлы:
- <Текущая директория>\hra101.dll
Перемещает следующие файлы:
- C:\RCX1.tmp в <Текущая директория>\hra101.dll
Сетевая активность:
Подключается к:
- 'xi######19961220.eicp.net':8091
UDP:
- DNS ASK xi######19961220.eicp.net
