Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ControlPanel' = '<SYSTEM32>\per.exe internat.dll,LoadKeyboardProfile'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:enable'
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Создает и запускает на исполнение:
- '<SYSTEM32>\tt.exe'
- '<SYSTEM32>\tt.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '%ProgramFiles%\Internet Explorer\IEXPLORE.EXE' -new http://go###world.biz/ss.htm
- '<SYSTEM32>\netsh.exe' firewall set allowedprogram <Полный путь к вирусу> enable
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\per.exe
- <Текущая директория>\asfds
- <Текущая директория>\sdfdsf
- <SYSTEM32>\t1t.exe
- <Текущая директория>\sdfff
- <SYSTEM32>\tt.exe
- <Текущая директория>\sdff1f
Сетевая активность:
Подключается к:
- 'go###world.biz':80
- 'localhost':1041
- 'df###gfdg.biz':80
TCP:
Запросы HTTP GET:
- http://df###gfdg.biz/ss/stat/uniq.php?ad##############################
- http://go###world.biz/ss.htm
- http://df###gfdg.biz/ss/stat/raw.php
- http://df###gfdg.biz/ss/1002.exe
- http://df###gfdg.biz/ss/1001.exe
UDP:
- DNS ASK go###world.biz
- DNS ASK df###gfdg.biz
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
