Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '<Полный путь к вирусу>'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'shell' = 'Explorer.exe <Полный путь к вирусу>'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '<Имя вируса>.exe~~!!!@' = '<Полный путь к вирусу>'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'run' = '<Полный путь к вирусу>'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Whosyourdaddy] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\ПµНі·юОс2] 'Start' = '00000002'
Заражает следующие исполняемые системные файлы:
- <SYSTEM32>\taskmgr.exe
- <SYSTEM32>\ctfmon.exe
- <SYSTEM32>\notepad.exe
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Редактора реестра (RegEdit)
Запускает на исполнение:
- <SYSTEM32>\sc.exe description "ПµНі·юОс2" ЦШТЄЖф¶ЇПо,ЗлОрЙѕіэ!
- <SYSTEM32>\sc.exe Create "ПµНі·юОс3" type= own type= interact start= disabled DisplayName= "Daddy" binPath= "cmd.exe /c start "<Полный путь к вирусу>"
- <SYSTEM32>\sc.exe description "ПµНі·юОс3" ЦШТЄЖф¶ЇПо,ЗлОрЙѕіэ!
- <SYSTEM32>\sc.exe Create "ПµНі·юОс1" type= own type= interact start= demand DisplayName= "Whosy" binPath= "cmd.exe /c start "<Полный путь к вирусу>"
- <SYSTEM32>\sc.exe description "ПµНі·юОс1" ЦШТЄЖф¶ЇПо,ЗлОрЙѕіэ!
- <SYSTEM32>\sc.exe Create "ПµНі·юОс2" type= own type= interact start= auto DisplayName= "Our" binPath= "cmd.exe /c start "<Полный путь к вирусу>"
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\ctfmon.exe
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoClose' = '00000001'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFind' = '00000001'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoRun' = '00000001'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoSetFolders' = '00000001'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoControlPanel' = '00000001'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoViewOnDrive' = '00000004'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\include_page090326[1].shtml
Присваивает атрибут 'скрытый' для следующих файлов:
- <Полный путь к вирусу>
Сетевая активность:
Подключается к:
- 'dn#.qq.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- dn#.qq.com/client/include_page090326.shtml
UDP:
- DNS ASK dn#.qq.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'ctfmon.exe'
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: 'notepad.exe'
- ClassName: '' WindowName: 'taskmgr.exe'
- ClassName: '#32770' WindowName: 'Windows ??????????'
- ClassName: '' WindowName: 'regedit.exe'
