Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\E_4\krnln.fne
- %HOMEPATH%\Favorites\Нв№ТЧч·»№Щ·ЅХѕ [www.zuowg.com].url
- %TEMP%\E_4\EThread.fne
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\yz0312[1].dll
- C:\yz.zipb
- %HOMEPATH%\Favorites\Нв№ТЧч·»ЧКФґХѕ [42724920.ys168.com].url
- %TEMP%\E_4\iext.fnr
- %TEMP%\E_4\dp1.fne
- %TEMP%\E_4\krnln.fnr
- %TEMP%\E_4\twain.fne
- %TEMP%\E_4\eCompress.fne
- %TEMP%\E_4\shell.fne
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\yz.zipb
Сетевая активность:
Подключается к:
- 'www.xx##er.cn':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- www.xx##er.cn/2009/qq/zcyz/yz0312.dll
UDP:
- DNS ASK www.xx##er.cn
Другое:
Ищет следующие окна:
- ClassName: 'Button' WindowName: '????(&O)'
- ClassName: '#32770' WindowName: '????????'
- ClassName: 'Button' WindowName: '????'
- ClassName: '#32770' WindowName: ''
- ClassName: '#32770' WindowName: '????????????????????'
- ClassName: 'Button' WindowName: '????????'
