Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'sysmsn' = '<SYSTEM32>\msnsn.exe -runservice'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\logm.exe -runserivce
- <SYSTEM32>\satpl.exe -runserivce
- <SYSTEM32>\msnsn.exe -runserivce
- <SYSTEM32>\taskim.exe -runserivce
- <SYSTEM32>\winket.exe -runserivce
- <SYSTEM32>\satpl.exe (загружен из сети Интернет)
- <SYSTEM32>\msnsn.exe (загружен из сети Интернет)
- <SYSTEM32>\winket.exe (загружен из сети Интернет)
- <SYSTEM32>\logm.exe (загружен из сети Интернет)
- <SYSTEM32>\taskim.exe (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\a4[1].jpg
- <SYSTEM32>\logm.exe
- <SYSTEM32>\satpl.exe
- <SYSTEM32>\msnsn.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\a5[1].jpg
- <SYSTEM32>\taskim.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\m1[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\m2[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\a3[1].jpg
- <SYSTEM32>\winket.exe
Сетевая активность:
Подключается к:
- '72.##.206.103':80
TCP:
Запросы HTTP GET:
- 72.##.206.103/files/a4.jpg
- 72.##.206.103/files/a5.jpg
- 72.##.206.103/files/a3.jpg
- 72.##.206.103/files/m1.jpg
- 72.##.206.103/files/m2.jpg
