Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'FIREFOX' = '<Полный путь к вирусу>'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\wsbctray.exe'
- '<SYSTEM32>\wsbctray.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\wsbctray.tmp
Перемещает следующие файлы:
- <SYSTEM32>\wsbctray.tmp в <SYSTEM32>\wsbctray.exe
Сетевая активность:
Подключается к:
- 'localhost':1111
- 'se#####all.notlong.com':80
- 'sq###.##a.igempresas.net':139
- 'sq###.##a.igempresas.net':1433
- 'sq###.##a.igempresas.net':445
TCP:
Запросы HTTP GET:
- se#####all.notlong.com/
UDP:
- DNS ASK se#####all.notlong.com
- DNS ASK sq###.##a.igempresas.net
