Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\IE\shell\open\command] '' = '%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://dh.765321.info?1133811?1133811'
- [<HKLM>\SOFTWARE\Classes\JE\shell\open\command] '' = '%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://www.laitao.info'
- [<HKLM>\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command] '' = 'Explorer.exe'
Вредоносные функции:
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Удаляет следующие файлы:
- %WINDIR%\vb.ini
Самоперемещается:
- из <Полный путь к вирусу> в <Текущая директория>\228.tmp
Сетевая активность:
Подключается к:
- '2.###321.info':4321
- 'localhost':1035
UDP:
- DNS ASK 2.###321.info
- '<IP-адрес в локальной сети>':1036
