Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\exefiles\shell\open\command] '' = '"<SYSTEM32>\taskmar.exe" "%1"'
- [<HKLM>\SOFTWARE\Classes\.exe] '' = 'exefiles'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c %TEMP%\0.bat
- <SYSTEM32>\taskkill.exe /f /im <Имя вируса>.exe /t
- <SYSTEM32>\taskkill.exe /f /im QQ.exe /t
- <SYSTEM32>\rundll32.exe <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen <Текущая директория>\ГАЕ®НјЖ¬.jpg
- <SYSTEM32>\taskkill.exe /f /im ZhuDongFangYu.exe /t
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Recent\af32d3b0.lnk
- %TEMP%\0.bat
- <SYSTEM32>\taskmar.exe
- <Текущая директория>\ГАЕ®НјЖ¬.jpg
- %HOMEPATH%\Recent\ГАЕ®НјЖ¬.lnk
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\taskmar.exe
- <Текущая директория>\ГАЕ®НјЖ¬.jpg
Сетевая активность:
Подключается к:
- 'ki########ft.tech.officelive.com':80
TCP:
Запросы HTTP GET:
- ki########ft.tech.officelive.com/Documents/IPP.txt
UDP:
- DNS ASK ki########ft.tech.officelive.com
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
