Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Explorer' = '%CommonProgramFiles%\ODBC\services.exe'
Создает или изменяет следующие файлы:
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\winlogon.exe
Вредоносные функции:
Создает и запускает на исполнение:
- %CommonProgramFiles%\ODBC\Au_333.dll
- %CommonProgramFiles%\ODBC\Au_444.dll
- %CommonProgramFiles%\ODBC\Au_Qvod.dll
- %CommonProgramFiles%\ODBC\services.exe
Запускает на исполнение:
- <SYSTEM32>\reg.exe ADD "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v Explorer /t REG_SZ /d "%CommonProgramFiles%\ODBC\services.exe"
- <SYSTEM32>\cmd.exe /c mybat.bat
Изменения в файловой системе:
Создает следующие файлы:
- %CommonProgramFiles%\ODBC\au_muti.au
- %CommonProgramFiles%\ODBC\Au_333.dll
- %CommonProgramFiles%\ODBC\Au_444.TMP
- <Текущая директория>\mybat.bat
- %CommonProgramFiles%\ODBC\Au_444.dll
- %CommonProgramFiles%\ODBC\Au_Qvod.dll
- %CommonProgramFiles%\ODBC\Au_Qvod.TMP
- %CommonProgramFiles%\ODBC\Au_222.TMP
- %CommonProgramFiles%\ODBC\Au_333.TMP
- %CommonProgramFiles%\ODBC\services.exe
Удаляет следующие файлы:
- %CommonProgramFiles%\ODBC\Au_333.TMP
- %CommonProgramFiles%\ODBC\Au_444.TMP
- %CommonProgramFiles%\ODBC\Au_Qvod.TMP
- %CommonProgramFiles%\ODBC\Au_222.TMP
Сетевая активность:
Подключается к:
- 'dl##.tzxfhq.cn':8
UDP:
- DNS ASK dl##.tzxfhq.cn
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
