Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'shell' = 'Explorer.exe "<SYSTEM32>\dllcache\smss.exe"'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\S-1-5-21-527237240-117609710-1177238915-117609710-527237240-500.exe
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\dllcache\smss.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Help\nvwcpye.hlp
- <SYSTEM32>\dllcache\smss.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\restore.jar
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\S-1-5-21-527237240-117609710-1177238915-117609710-527237240-500.exe
Удаляет следующие файлы:
- <SYSTEM32>\command.com
Сетевая активность:
Подключается к:
- 'cy#####rey.no-ip.biz':80
UDP:
- DNS ASK cy#####rey.no-ip.biz
