Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WindowsMedia' = '<Полный путь к вирусу>'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Player] 'Start' = '00000000'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v "WindowsMedia" /d "<Полный путь к вирусу>" /f
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\mp3w.bat""
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\mpegplayer.doc
- <Текущая директория>\mp3w.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- <Полный путь к вирусу>
Удаляет следующие файлы:
- <Текущая директория>\mp3w.bat
Сетевая активность:
Подключается к:
- 'xa#######rafconsultor.com.br':80
- '69.#5.10.75':80
TCP:
Запросы HTTP GET:
- xa#######rafconsultor.com.br/webStats.php?yi##########
- 69.#5.10.75/GoogleAnalytics
UDP:
- DNS ASK xa#######rafconsultor.com.br
