Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SYSTEM\ControlSet001\Control\Print\Providers\2393389424] 'Name' = '"%TEMP%\srvAD8.tmp"'
Создает следующие сервисы:
[<HKLM>\SYSTEM\ControlSet001\Services\srvAD8] 'Start' = '00000002'
Вредоносные функции:
Внедряет код в следующие системные процессы:
- <SYSTEM32>\spoolsv.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\srvAD8.tmp
- %TEMP%\srvAD8.ini
- %WINDIR%\Temp\2.tmp
- %WINDIR%\Temp\3.tmp
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0HEN09YB\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\PK3DPJDU\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GZ012LM5\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SHWVUBG1\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0HEN09YB\X[1]
<SYSTEM32>\a.exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0J2LM5OP\wpad[1].dat
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0J2LM5OP\wpad[2].dat
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0HEN09YB\wpad[1].dat
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\srvAD8.tmp
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0HEN09YB\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\PK3DPJDU\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GZ012LM5\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SHWVUBG1\desktop.ini
Самоперемещается:
- из <Полный путь к вирусу> в %TEMP%\1.tmp
Сетевая активность:
Подключается к:
- '19#.#68.193.2':445
- '19#.#68.193.12':445
- '19#.#68.193.26':445
- '19#.#68.193.8':445
- '19#.#68.193.28':445
- '19#.#68.193.6':445
- '19#.#68.193.30':445
- '19#.#68.193.4':445
- '19#.#68.193.7':445
- '19#.#68.193.19':445
- '19#.#68.193.24':445
- '19#.#68.193.21':445
- '19#.#68.193.22':445
- '19#.#68.193.16':445
- '19#.#68.193.18':445
- '19#.#68.193.14':445
- '19#.#68.193.3':445
- '19#.#68.193.13':445
- '19#.#68.193.20':445
- '19#.#68.193.9':445
- '19#.#68.193.10':445
- '19#.#68.193.1':445
- '19#.#68.193.11':445
- '19#.#68.193.25':445
- '19#.#68.193.27':445
- '19#.#68.193.29':445
- '19#.#68.193.17':445
- '19#.#68.193.15':445
- '19#.#68.193.23':445
- '19#.#68.193.5':445
- '19#.#68.193.33':445
- '19#.#68.193.45':445
- '19#.#68.193.32':445
- '19#.#68.193.40':445
- '19#.#68.193.38':445
- '19#.#68.193.36':445
- '19#.#68.193.34':445
- '19#.#68.193.49':445
- '19#.#68.193.51':445
- '19#.#68.193.42':445
- '19#.#68.193.54':445
- '19#.#68.193.37':445
- '19#.#68.193.35':445
- '19#.#68.193.47':445
- '19#.#68.193.39':445
- '19#.#68.193.41':445
- '19#.#68.193.44':445
- '19#.#68.193.46':445
- '19#.#68.193.48':445
- '19#.#68.193.58':445
- '19#.#68.193.53':445
- '19#.#68.193.55':445
- '19#.#68.193.50':445
- '19#.#68.193.52':445
- '19#.#68.193.62':445
- '19#.#68.193.59':445
- '19#.#68.193.57':445
- '19#.#68.193.61':445
- '19#.#68.193.63':445
- '19#.#68.193.65':445
- '19#.#68.193.60':445
- '19#.#68.193.64':445
- '19#.#68.193.70':445
- '19#.#68.193.56':445
- '19#.#68.193.74':445
- '19#.#68.193.75':445
- '19#.#68.193.66':445
- '19#.#68.193.80':445
- '19#.#68.193.68':445
- '19#.#68.193.86':445
- '19#.#68.193.76':445
- '19#.#68.193.78':445
- '19#.#68.193.88':445
- '19#.#68.193.90':445
- '19#.#68.193.84':445
- '19#.#68.193.72':445
- '19#.#68.193.82':445
- '19#.#68.193.85':445
- '19#.#68.193.77':445
- '19#.#68.193.79':445
- '19#.#68.193.69':445
- '19#.#68.193.81':445
- '19#.#68.193.73':445
- '19#.#68.193.71':445
- '19#.#68.193.96':445
- '19#.#68.193.94':445
- '19#.#68.193.67':445
- '19#.#68.193.83':445
- '19#.#68.193.87':445
- '19#.#68.193.98':445
- '19#.#68.193.92':445
- '19#.#68.193.102':445
- '19#.#68.193.100':445
- '19#.#68.193.89':445
- '19#.#68.193.106':445
- '19#.#68.193.103':445
- '19#.#68.193.99':445
- '19#.#68.193.93':445
- '19#.#68.193.95':445
- '19#.#68.193.97':445
- '19#.#68.193.91':445
- '19#.#68.193.101':445
- '19#.#68.193.104':445
- '19#.#68.193.108':445
- '19#.#68.193.110':445
- '19#.#68.193.114':445
- '19#.#68.193.112':445
- '19#.#68.193.105':445
- '19#.#68.193.113':445
- '19#.#68.193.107':445
- '19#.#68.193.115':445
- '19#.#68.193.118':445
- '19#.#68.193.126':445
- '19#.#68.193.120':445
- '19#.#68.193.116':445
- '19#.#68.193.111':445
- '19#.#68.193.124':445
- '19#.#68.193.122':445
- '19#.#68.193.121':445
- '19#.#68.193.123':445
- '19#.#68.193.109':445
- '19#.#68.193.119':445
- '19#.#68.193.117':445
- '19#.#68.193.128':445
- '19#.#68.193.129':445
- '19#.#68.193.125':445
- '19#.#68.193.133':445
- '19#.#68.193.130':445
- '19#.#68.193.132':445
- '19#.#68.193.131':445
- '19#.#68.193.127':445
- '19#.#68.193.143':445
- '19#.#68.193.137':445
- '19#.#68.193.142':445
- '19#.#68.193.141':445
- '19#.#68.193.135':445
- '19#.#68.193.136':445
- '19#.#68.193.138':445
- '19#.#68.193.147':445
- '19#.#68.193.149':445
- '19#.#68.193.145':445
- '19#.#68.193.140':445
- '19#.#68.193.134':445
- '19#.#68.193.144':445
- '19#.#68.193.146':445
- '19#.#68.193.153':445
- '19#.#68.193.148':445
- '19#.#68.193.151':445
- '19#.#68.193.155':445
- '19#.#68.193.157':445
- '19#.#68.193.150':445
- '19#.#68.193.154':445
- '19#.#68.193.152':445
- '19#.#68.193.159':445
- '19#.#68.193.161':445
- '19#.#68.193.160':445
- '19#.#68.193.158':445
- '19#.#68.193.156':445
- '19#.#68.193.163':445
- '19#.#68.193.167':445
- '19#.#68.193.165':445
- '19#.#68.193.162':445
- '19#.#68.193.169':445
- '19#.#68.193.171':445
- '19#.#68.193.173':445
- '19#.#68.193.177':445
- '19#.#68.193.175':445
- '19#.#68.193.179':445
- '19#.#68.193.168':445
- '19#.#68.193.170':445
- '19#.#68.193.166':445
- '19#.#68.193.178':445
- '19#.#68.193.183':445
- '19#.#68.193.174':445
- '19#.#68.193.164':445
- '19#.#68.193.181':445
- '19#.#68.193.185':445
- '19#.#68.193.180':445
- '19#.#68.193.184':445
- '19#.#68.193.182':445
- '19#.#68.193.186':445
- '19#.#68.193.187':445
- '19#.#68.193.189':445
- '19#.#68.193.172':445
- '19#.#68.193.176':445
- '19#.#68.193.188':445
- '19#.#68.193.195':445
- '19#.#68.193.191':445
- '19#.#68.193.193':445
- '19#.#68.193.192':445
- '19#.#68.193.197':445
- '19#.#68.193.194':445
- '19#.#68.193.199':445
- '19#.#68.193.201':445
- '19#.#68.193.203':445
- '19#.#68.193.205':445
- '19#.#68.193.209':445
- '19#.#68.193.196':445
- '19#.#68.193.207':445
- '19#.#68.193.190':445
- '19#.#68.193.211':445
- '19#.#68.193.217':445
- '19#.#68.193.213':445
- '19#.#68.193.208':445
- '19#.#68.193.215':445
- '19#.#68.193.219':445
- '19#.#68.193.198':445
- '19#.#68.193.200':445
- '19#.#68.193.221':445
- '19#.#68.193.202':445
- '19#.#68.193.204':445
- '19#.#68.193.210':445
- '19#.#68.193.216':445
- '19#.#68.193.214':445
- '19#.#68.193.212':445
- '19#.#68.193.206':445
- '19#.#68.193.227':445
- '19#.#68.193.229':445
- '19#.#68.193.224':445
- '19#.#68.193.231':445
- '19#.#68.193.233':445
- '19#.#68.193.220':445
- '19#.#68.193.225':445
- '19#.#68.193.236':445
- '19#.#68.193.230':445
- '19#.#68.193.235':445
- '19#.#68.193.241':445
- '19#.#68.193.251':445
- '19#.#68.193.237':445
- '19#.#68.193.250':445
- '19#.#68.193.239':445
- '19#.#68.193.245':445
- '19#.#68.193.247':445
- '19#.#68.193.253':445
- '19#.#68.193.223':445
- '19#.#68.193.249':445
- '19#.#68.193.243':445
- '19#.#68.193.238':445
- '19#.#68.193.226':445
- '19#.#68.193.228':445
- '19#.#68.193.218':445
- '19#.#68.193.222':445
- '19#.#68.193.232':445
- '19#.#68.193.234':445
- '19#.#68.193.252':445
- '19#.#68.193.248':445
- '19#.#68.193.254':445
- '19#.#68.193.240':445
- '19#.#68.193.242':445
- '19#.#68.193.246':445
- '19#.#68.193.244':445
- '19#.#68.193.5':139
- '19#.#68.193.2':139
- '19#.#68.193.5':80
- '19#.#68.193.2':80
- '94.##.123.33':80
- '94.##.123.34':80
- 'localhost':1301
- 'wpad.localdomain':80
TCP:
Запросы HTTP GET:
- 94.##.123.33/service/listener.php?af#########
- 94.##.123.34/service/scripts/files/aff_50045.dll
- 94.##.123.34/X
- wpad.localdomain/wpad.dat
UDP:
- DNS ASK wpad.localdomain