Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{3290769C-0471-11d2-AF11-00C04FA35D02}] 'StubPath' = '%WINDIR%\addins\winrar.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\exe2exe.exe'
- '%TEMP%\exe1exe.exe'
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /s shmily.reg
- '%WINDIR%\regedit.exe' /s BD.reg
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "
- '<SYSTEM32>\wscript.exe' "%WINDIR%/addins/Mchicken.vbs"
- '<SYSTEM32>\find.exe' "2000"
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\addins\winrar.exe
- %WINDIR%\addins\ver.txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\login[1]
- %TEMP%\7ZSfx000.cmd
- %WINDIR%\addins\shmily.reg
- %WINDIR%\addins\Mchicken.vbs
- %TEMP%\exe2exe.exe
- %TEMP%\exe1exe.exe
- %WINDIR%\addins\360reg.bat
- %WINDIR%\addins\00C04FA35D02.vbs
- %WINDIR%\addins\win32shelldown.bat
Удаляет следующие файлы:
- %WINDIR%\addins\shmily.reg
- %WINDIR%\addins\Mchicken.vbs
- %TEMP%\exe2exe.exe
- %TEMP%\7ZSfx000.cmd
Сетевая активность:
Подключается к:
- 'ui.###ogin2.qq.com':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- ui.###ogin2.qq.com/cgi-bin/login?ap##############################################################################################################################################################
UDP:
- DNS ASK ui.###ogin2.qq.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
