Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\exefile\shell\open\command] '' = '%PROGRAM_FILES%\conhost.exe "%1" %*'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\QTUpdate] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\csrss.exe
- %PROGRAM_FILES%\Milestone Antivirus\Milestone Antivirus.exe
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\sh3.dat
- %PROGRAM_FILES%\csrss.exe
- %PROGRAM_FILES%\conhost.exe
- %PROGRAM_FILES%\nuar.old
- %TEMP%\1.tmp
- %PROGRAM_FILES%\Milestone Antivirus.ico
- %PROGRAM_FILES%\Milestone Antivirus\Milestone Antivirus.exe
- %HOMEPATH%\Start Menu\Programs\Milestone Antivirus\Milestone Antivirus.lnk
- %PROGRAM_FILES%\sh4.dat
- %HOMEPATH%\Desktop\Milestone Antivirus.lnk
Сетевая активность:
Подключается к:
- 'ti##.nist.gov':123
- 'cc####-online.com':80
- 'nt##.#bg.netnod.se':123
- 'nt##.#s.wisc.edu':123
- 'ti##.#indows.com':123
- '74.##5.232.51':80
- 'sy####-reports.com':80
- 'co######.system-reports.com':80
TCP:
Запросы HTTP GET:
- sy####-reports.com/
- cc####-online.com/
- 74.##5.232.51/
- co######.system-reports.com/stat/action.php?p=##############################################################
UDP:
- DNS ASK ti##.nist.gov
- DNS ASK cc####-online.com
- DNS ASK nt##.#bg.netnod.se
- DNS ASK nt##.#s.wisc.edu
- DNS ASK ti##.#indows.com
- DNS ASK google.com
- DNS ASK co######.system-reports.com
- DNS ASK sy####-reports.com
- 'localhost':1048
- 'localhost':1047
- 'localhost':1045
- 'localhost':1041
- 'localhost':1046
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
