Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Recycler' = 'C:\RECYCLER.lnk'
Создает или изменяет следующие файлы:
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Microsoft Update.lnk
Вредоносные функции:
Создает и запускает на исполнение:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\sd_new[1].exe (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe <SYSTEM32>\shell32.dll,Control_RunDLL "C:\mso.sss",C:\mso.sss
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Start Menu\Internet Explorer.lnk
- %TEMP%\svchost.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\sd_new[1].exe
- C:\mso.sss
- C:\RECYCLER.lnk
- %HOMEPATH%\Favorites\Microsoft Update.lnk
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\mso.sss
Сетевая активность:
Подключается к:
- '<IP-адрес в локальной сети>':139
- 'ri##ot.ru':80
- 'localhost':1037
- '<IP-адрес в локальной сети>':445
TCP:
Запросы HTTP GET:
- ri##ot.ru/1/sd_new.exe
UDP:
- DNS ASK ri##ot.ru
