Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WindowsMedia' = '%WINDIR%\winmplayer.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\winmplayer.exe
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c ""%WINDIR%\mp3w.bat""
- <SYSTEM32>\reg.exe add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v "WindowsMedia" /d "%WINDIR%\winmplayer.exe" /f
- <SYSTEM32>\cmd.exe /c ""<Текущая директория>\mp3w.bat""
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\mp3w.bat
- %WINDIR%\mpegplayer.doc
- %WINDIR%\winmplayer.exe
- <Текущая директория>\mp3w.bat
- <Текущая директория>\mpegplayer.doc
Удаляет следующие файлы:
- %WINDIR%\mp3w.bat
- <Текущая директория>\mp3w.bat
Сетевая активность:
Подключается к:
- 'xa#######rafconsultor.com.br':80
- 'st#####equalizer.com':80
TCP:
Запросы HTTP GET:
- xa#######rafconsultor.com.br/webStats.php?yi#################
- st#####equalizer.com/GoogleAdSense
UDP:
- DNS ASK xa#######rafconsultor.com.br
- DNS ASK st#####equalizer.com
- '<IP-адрес в локальной сети>':1036
