Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'wuacl' = '%ALLUSERSPROFILE%\Application Data\wuaclt.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'wuacl' = '<Полный путь к вирусу>'
Вредоносные функции:
Создает и запускает на исполнение:
- %ALLUSERSPROFILE%\Application Data\wuaclt.exe
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\wuaclt.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\Application Data\wuaclt.exe
Удаляет следующие файлы:
- %ALLUSERSPROFILE%\Application Data\wuaclt.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- '12#.#16.198.159':80
- '12#.#16.198.159':443
- '12#.#16.198.159':8080
- 'su##.flnet.org':443
- 'ma######d.serveusers.com':80
- 'ma######d.serveusers.com':443
- 'su##.flnet.org':80
TCP:
Запросы HTTP POST:
- ma######d.serveusers.com/0000/a173265.asp
- 12#.#16.198.159/0000/a166796.asp
- su##.flnet.org/0000/a177140.asp
- ma######d.serveusers.com/0000/a187468.asp
- 12#.#16.198.159/0000/a180812.asp
- su##.flnet.org/0000/a148921.asp
- ma######d.serveusers.com/0000/a131328.asp
- 12#.#16.198.159/0000/a152796.asp
- su##.flnet.org/0000/a163125.asp
- ma######d.serveusers.com/0000/a159265.asp
UDP:
- DNS ASK su##.flnet.org
- DNS ASK ma######d.serveusers.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
