Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'mssysb' = '<SYSTEM32>\<Имя вируса>.exe'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\reg.exe add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /t REG_SZ /f /v mssysb /d "<SYSTEM32>\<Имя вируса>.exe"
- <SYSTEM32>\taskkill.exe /f /im <Имя вируса>.exe
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\<Имя вируса>.exe
- <Текущая директория>\RCX1.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\ib1[1]
Самоудаляется.
Сетевая активность:
Подключается к:
- '21#.#17.164.31':443
- 'www.ip###cation.com':80
TCP:
Запросы HTTP GET:
- www.ip###cation.com/ib1/
UDP:
- DNS ASK www.ip###cation.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
