Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:ipsec'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c <DRIVERS>\etc\driver\driver.bat
- '<SYSTEM32>\route.exe' add -p 216.12.145.20 MASK 255.255.255.255 192.168.1.100 METRIC 1
- '<SYSTEM32>\route.exe' add -p 81.176.69.105 MASK 255.255.255.255 192.168.1.100 METRIC 1
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\login[1].php
- <DRIVERS>\etc\driver\driver.bat
- <DRIVERS>\etc\driver\hosts
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'fa####ad-net.1gb.ru':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- fa####ad-net.1gb.ru/login.php?lo############
UDP:
- DNS ASK fa####ad-net.1gb.ru
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
