Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Microsoft Explorer' = '<Текущая директория>\ixplore.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Microsoft Desktopfenster-Manager' = '<Текущая директория>\dmw.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- <Текущая директория>\ixplore.exe (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\1.html
- <Текущая директория>\2.html
- <Текущая директория>\ixplore.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\kab[1].php
Сетевая активность:
Подключается к:
- 'is######wn.is.funpic.org':80
- 'bi###x.d4rc.net':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- is######wn.is.funpic.org/u/i.exe
- bi###x.d4rc.net/x/kab.php
UDP:
- DNS ASK is######wn.is.funpic.org
- DNS ASK bi###x.d4rc.net
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
