Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\Win Types\Win Const.exe "<Полный путь к вирусу>"
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: <SYSTEM32>\Win Types\Win Const5.dll
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Win Types\Win Const0.idx
- <SYSTEM32>\Win Types\Win Const5.dll
- <SYSTEM32>\Win Types\Win Const.dat
- <SYSTEM32>\Win Types\1\0.dll
- %WINDIR%\1.mzp
- <SYSTEM32>\Win Types\1.mzp
- <SYSTEM32>\Win Types\Win Const.exe
Удаляет следующие файлы:
- <SYSTEM32>\Win Types\Win Const.dat
- %WINDIR%\1.mzp
Самоудаляется.
Сетевая активность:
Подключается к:
- '66.##1.46.139':85
- 'www.fw#.##tfirms.com':80
- 'we#.icq.com':80
TCP:
Запросы HTTP GET:
- www.fw#.##tfirms.com/log.txt
UDP:
- DNS ASK www.fw#.##tfirms.com
- DNS ASK we#.icq.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
