Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'srtserv' = '%ALLUSERSPROFILE%\Application Data\srtserv\<Имя вируса>.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %ALLUSERSPROFILE%\Application Data\srtserv\<Имя вируса>.exe -wait
Запускает на исполнение:
- %WINDIR%\explorer.exe <Текущая директория>\<Имя вируса>
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\srtserv\set.dat
- %ALLUSERSPROFILE%\Application Data\srtserv\sdata.dll
- %ALLUSERSPROFILE%\Application Data\srtserv\<Имя вируса>.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\Application Data\srtserv\<Имя вируса>.exe
Удаляет следующие файлы:
- %ALLUSERSPROFILE%\Application Data\srtserv\set.dat
Сетевая активность:
Подключается к:
- 'ps###rbal.com':80
- 'vp##mosk.ru':80
- 'd9####7a.110mb.com':80
- 'el##ant.ru':80
- 'ce###820.com':80
- '24##at.ru':80
- 'st###nt-card.ru':80
TCP:
Запросы HTTP GET:
- ps###rbal.com/data/setz.dat
- vp##mosk.ru/setz.dat
- d9####7a.110mb.com/setz.dat
- el##ant.ru/data/setz.dat
- ce###820.com/setz.dat
- 24##at.ru/data/setz.dat
- st###nt-card.ru/data/setz.dat
UDP:
- DNS ASK vp##mosk.ru
- DNS ASK ps###rbal.com
- DNS ASK f4######.yourfreehosting.net
- DNS ASK d9####7a.110mb.com
- DNS ASK 24##at.ru
- DNS ASK ce###820.com
- DNS ASK el##ant.ru
- DNS ASK st###nt-card.ru
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
