Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Service host process' = '<DRIVERS>\svchost.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Создает и запускает на исполнение:
- '<DRIVERS>\svchost.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <DRIVERS>\svchost.exe
Сетевая активность:
Подключается к:
- '94.##0.191.201':25
- 'ma##.tut.by':25
- 'ch#####en.web.aplus.net':80
- 'mx#.#otmail.com':25
- '20#.#6.232.182':25
- '67.##5.160.76':25
TCP:
Запросы HTTP GET:
- ch#####en.web.aplus.net/cgi-bin/st.cgi?ip#####################################################################
UDP:
- DNS ASK sm##.mail.ru
- DNS ASK ma##.tut.by
- DNS ASK ch#####en.web.aplus.net
- DNS ASK mx#.#otmail.com
- DNS ASK ma###.microsoft.com
- DNS ASK mx#.##il.yahoo.com
