Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\W32Time] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\sc.exe config W32Time start= auto
- <SYSTEM32>\sc.exe start W32Time
- %WINDIR%\regedit.exe /s C:\fans.reg
- <SYSTEM32>\taskkill.exe /f /im Ksafetray.exe
- <SYSTEM32>\sc.exe stop W32Time
Изменения в файловой системе:
Создает следующие файлы:
- %CommonProgramFiles%\lamss.ini
- C:\fans.reg
- %CommonProgramFiles%\FANS.DLL
Самоперемещается:
- из <Полный путь к вирусу> в %CommonProgramFiles%\lamss.exe
Сетевая активность:
Подключается к:
- 'di####cm.3322.org':888
UDP:
- DNS ASK ti##.#indows.com
- DNS ASK di####cm.3322.org
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
