Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Spooler SubSystem App' = '%PROGRAM_FILES%\Windows Media Player\spoolsv.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' stop WinDefend
- '<SYSTEM32>\sc.exe' delete WinDefend
- '<SYSTEM32>\net.exe' stop WinDefend
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Windows Media Player\RCX3.tmp
- %PROGRAM_FILES%\Windows Media Player\RCX4.tmp
- %PROGRAM_FILES%\Windows Media Player\RCX2.tmp
- %PROGRAM_FILES%\Windows Media Player\spoolsv.exe
- %PROGRAM_FILES%\Windows Media Player\RCX1.tmp
Удаляет следующие файлы:
- %PROGRAM_FILES%\Windows Media Player\spoolsv.exe
Перемещает следующие файлы:
- %PROGRAM_FILES%\Windows Media Player\RCX3.tmp в %PROGRAM_FILES%\Windows Media Player\spoolsv.exe
- %PROGRAM_FILES%\Windows Media Player\RCX4.tmp в %PROGRAM_FILES%\Windows Media Player\spoolsv.exe
- %PROGRAM_FILES%\Windows Media Player\RCX1.tmp в %PROGRAM_FILES%\Windows Media Player\spoolsv.exe
- %PROGRAM_FILES%\Windows Media Player\RCX2.tmp в %PROGRAM_FILES%\Windows Media Player\spoolsv.exe
Сетевая активность:
Подключается к:
- 'so###de.com.br':80
TCP:
Запросы HTTP GET:
- http://so###de.com.br/wp-content/plugins/addthis/count2/count.php?ve#######
UDP:
- DNS ASK so###de.com.br
