Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'PoJonSe' = '%WINDIR%\1.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '000000000001' = '<SYSTEM32>\jonsen.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Pccom' = '%WINDIR%\2.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\jonsen.exe'
- '%WINDIR%\2.exe'
- '%WINDIR%\1.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\jonsen.exe
- %WINDIR%\2.exe
- %WINDIR%\1.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\1.exe
Сетевая активность:
Подключается к:
- 'us###.qzone.qq.com':80
- 'up####.#nimarketing.co.kr':80
- 'co####.#nimarketing.co.kr':80
TCP:
Запросы HTTP GET:
- http://us###.qzone.qq.com/fcg-bin/cgi_get_portrait.fcg?ui#############
- http://up####.#nimarketing.co.kr/update.php?ap###
- http://co####.#nimarketing.co.kr/?ap###
UDP:
- DNS ASK us###.qzone.qq.com
- DNS ASK up####.#nimarketing.co.kr
- DNS ASK co####.#nimarketing.co.kr
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
