Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'msnmessnger' = ''
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{TQ3322LT-0PWK-O8KJ-R031-E54MX27RV2Q5}] 'StubPath' = '<SYSTEM32>\installers\msnmessenger.exe Restart'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'msnmessnger' = ''
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'msnmessnger' = ''
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'msnmessnger' = ''
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Компонент восстановления системы (SR)
Создает и запускает на исполнение:
- '%TEMP%\0'
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "%TEMP%\reg.vbs"
- '<SYSTEM32>\wscript.exe' "%TEMP%\exec.vbs"
- '<SYSTEM32>\services.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\alg.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\exec.vbs
- %TEMP%\reg.vbs
- %TEMP%\0
- <SYSTEM32>\installers\msnmessenger.exe
Сетевая активность:
Подключается к:
- 'sn######789.bounceme.net':82
UDP:
- DNS ASK sn######789.bounceme.net
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
