Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'TSystem.exe' = '<LS_APPDATA>\Noroeste\TSystem.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'GraphicsIntel.exe' = ''
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WinServices.exe' = ''
Вредоносные функции:
Завершает или пытается завершить
следующие пользовательские процессы:
- firefox.exe
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\Noroeste\TSystem.exe
Сетевая активность:
Подключается к:
- 'www.c-##ke.com':80
- 'www.dy###ling.com':80
TCP:
Запросы HTTP POST:
- www.c-##ke.com/contenidos/prod_cult/escuelas/ct/media/
- www.c-##ke.com/contenidos/prod_cult/escuelas/ct/media/ltado-xiu.php
- www.dy###ling.com/2009/ltado-xiu.php
UDP:
- DNS ASK www.c-##ke.com
- DNS ASK www.dy###ling.com
- '<IP-адрес в локальной сети>':1037
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
