Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:<Имя вируса>.exe'
Запускает на исполнение:
- <SYSTEM32>\sc.exe config UI0Detect start= disabled
- <SYSTEM32>\sc.exe stop UI0Detect
- <SYSTEM32>\cmd.exe /c "%TEMP%\_tmp21.bat"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\setop3010.exe
- %TEMP%\_tmp21.bat
Сетевая активность:
Подключается к:
- 'd2.##wnxia.net':80
- 'd1.##wnxia.net':80
TCP:
Запросы HTTP GET:
- d2.##wnxia.net/?id#############
- d1.##wnxia.net/jpdesk/20101104/jpdesk_3010_Setup.exe
UDP:
- DNS ASK d2.##wnxia.net
- DNS ASK we#.##oye123.net
- DNS ASK d1.##wnxia.net
- DNS ASK c1.##d3322.com
- DNS ASK s.##.ivc.cn
- DNS ASK ma##.#td3322.com
- 'c1.##d3322.com':7788
- 's.##.ivc.cn':4475
- 'ma##.#td3322.com':7788
- 'we#.##oye123.net':8899
Другое:
Ищет следующие окна:
- ClassName: 'Maxthon2_View' WindowName: ''
- ClassName: 'XFrame_Wnd' WindowName: ''
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: 'Container' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'TCnNuoIEBrowser' WindowName: ''
- ClassName: 'TT_WebCtrl' WindowName: ''
- ClassName: 'SE_AxControl' WindowName: ''
