Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\CLSID\{86AEFBE8-763F-0647-899C-A93278894D8E}\Shell\Open\Command] '' = '%PROGRAM_FILES%\Internet Explorer\iexplore.exe http://www.67910.com/?9124469'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\regsvr32.exe /s <SYSTEM32>\dwm_ie.dll
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://www.67##0.com/?91#####
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Internet Explorer\flash.htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\getpublicip[1].shtml
- C:\ip.txt
- %PROGRAM_FILES%\Internet Explorer\ie.htm
- <SYSTEM32>\dwm_ie.dll
- %HOMEPATH%\Desktop\Internet Explorer.lnk
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\67910[1]
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\dwm_ie.dll
Удаляет следующие файлы:
- %HOMEPATH%\Desktop\Internet Explorer.lnk
Сетевая активность:
Подключается к:
- 'localhost':1041
- 'vb###.mvps.org':80
- 'localhost':1038
- 'www.67##0.com':80
TCP:
Запросы HTTP GET:
- vb###.mvps.org/resources/tools/getpublicip.shtml
- www.67##0.com/?91#####
UDP:
- DNS ASK vb###.mvps.org
- DNS ASK www.67##0.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
