Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%WINDIR%\svchost.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'SystemProcess' = '%WINDIR%\svchost.exe'
- [<HKLM>\SOFTWARE\Classes\ChatFile\Shell\open\command] '' = '"%WINDIR%\svchost.exe" -noconnect'
- [<HKLM>\SOFTWARE\Classes\irc\Shell\open\command] '' = '"%WINDIR%\svchost.exe" -noconnect'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\svchost.exe' = '%WINDIR%\svchost.exe:*:Enabled:PXT'
Создает и запускает на исполнение:
- %WINDIR%\svchost.exe
Запускает на исполнение:
- %WINDIR%\msagent\agentsvr.exe -Embedding
- %WINDIR%\regedit.exe /s /c system32\myupdate.reg
- %WINDIR%\regedit.exe /s 150.reg
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\files\6021939.INS
- <SYSTEM32>\files\67292274.INS
- <SYSTEM32>\files\934671.INS
- <SYSTEM32>\files\34128188.INS
- <SYSTEM32>\files\81701413.INS
- <SYSTEM32>\files\57032544.INS
- <SYSTEM32>\files\90293186.INS
- <SYSTEM32>\files\47862964.INS
- <SYSTEM32>\files\65646922.INS
- <SYSTEM32>\files\36588370.INS
- <SYSTEM32>\files\31453148.INS
- <SYSTEM32>\files\28511559.INS
- <SYSTEM32>\files\60977396.INS
- <SYSTEM32>\files\57674981.INS
- <SYSTEM32>\files\17431570.INS
- <SYSTEM32>\files\26811774.INS
- <SYSTEM32>\files\7464803.INS
- <SYSTEM32>\files\61204368.INS
- <SYSTEM32>\files\74084939.INS
- <SYSTEM32>\files\80583816.INS
- <SYSTEM32>\files\763597.INS
- <SYSTEM32>\files\10657955.INS
- <SYSTEM32>\94653649.INS
- <SYSTEM32>\12679869.INS
- <SYSTEM32>\15822300.INS
- <SYSTEM32>\70087344.INS
- <SYSTEM32>\49996637.INS
- %WINDIR%\3062544.INS
- %WINDIR%\TMP1.$$$
- %WINDIR%\remote.ini
- <SYSTEM32>\exec.o
- %WINDIR%\exec.exp
- %WINDIR%\150.reg
- <SYSTEM32>\59588805.INS
- <SYSTEM32>\66891123.INS
- <SYSTEM32>\files\41165420.INS
- <SYSTEM32>\files\76677405.INS
- <SYSTEM32>\files\55197235.INS
- <SYSTEM32>\47174036.INS
- <SYSTEM32>\83876814.INS
- <SYSTEM32>\92702772.INS
- <SYSTEM32>\8079217.INS
- <SYSTEM32>\1147538.INS
- <SYSTEM32>\54866734.INS
- <SYSTEM32>\files\54369607.INS
- <SYSTEM32>\82562790.INS
- <SYSTEM32>\files\48171491.INS
- <SYSTEM32>\46602466.INS
- %WINDIR%\71793066.INS
- %WINDIR%\16263294.INS
- <SYSTEM32>\files\87432872.INS
- <SYSTEM32>\files\14101435.INS
- <SYSTEM32>\files\5008216.INS
- <SYSTEM32>\files\8272202.INS
- <SYSTEM32>\files\77279764.INS
- <SYSTEM32>\files\49258879.INS
- %WINDIR%\31861617.INS
- %WINDIR%\37224256.INS
- %WINDIR%\27296716.INS
- %WINDIR%\0313.INS
- %WINDIR%\86102025.INS
- %WINDIR%\8204747.INS
- %WINDIR%\77463279.INS
- %WINDIR%\69768441.INS
- %WINDIR%\91723679.INS
- %WINDIR%\7058408.INS
- %WINDIR%\5972932.INS
- <SYSTEM32>\files\77407495.INS
- <SYSTEM32>\files\19771436.INS
- <SYSTEM32>\files\70539889.INS
- <SYSTEM32>\files\95316848.INS
- <SYSTEM32>\files\338776.INS
- <SYSTEM32>\files\91357841.INS
- <SYSTEM32>\files\28008771.INS
- <SYSTEM32>\files\16122731.INS
- <SYSTEM32>\files\9366289.INS
- <SYSTEM32>\files\58928647.INS
- <SYSTEM32>\files\68932878.INS
- <SYSTEM32>\files\55752060.INS
- <SYSTEM32>\files\68105928.INS
- <SYSTEM32>\files\77047081.INS
- <SYSTEM32>\files\592996.INS
- <SYSTEM32>\files\77446506.INS
- <SYSTEM32>\files\95546440.INS
- <SYSTEM32>\files\49528816.INS
- <SYSTEM32>\files\50995733.INS
- <SYSTEM32>\files\8587723.INS
- <SYSTEM32>\files\99832437.INS
- <SYSTEM32>\files\67612956.INS
Удаляет следующие файлы:
- %WINDIR%\TMP1.$$$
- %WINDIR%\control.ini
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'NDDEAgnt' WindowName: 'NetDDE Agent'
- ClassName: 'Shell_TrayWnd' WindowName: ''
