Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\WmdmPmSN] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\qjnoNa] 'Start' = '00000002'
Заражает следующие исполняемые системные файлы:
- <SYSTEM32>\mspmsnsv.dll
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Temp\79EE100F.tmp
- %WINDIR%\Temp\37D43FEB.tmp
- <SYSTEM32>\qjnoNa.sys
- C:\Documents and Settings\Infortmp.txt
- <SYSTEM32>\26AD058C.tmp
Удаляет следующие файлы:
- %WINDIR%\Temp\79EE100F.tmp
- %WINDIR%\Temp\37D43FEB.tmp
- C:\Documents and Settings\Infortmp.txt
- <SYSTEM32>\26AD058C.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- 'go.###i7863afb.info':799
- 'go.###i78634tg.info':799
- '11#.#38.237.83':799
- 'p.###456.com':75
- 'ts.##ss520.com':799
UDP:
- DNS ASK go.###i7863afb.info
- DNS ASK go.###i78634tg.info
- DNS ASK ts.##ss520.com
- DNS ASK www.ba##u.com
- DNS ASK p.###456.com
