Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] '26639' = '%ALLUSERSPROFILE%\Local Settings\Temp\msdubmn.bat'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\wuauclt.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Local Settings\Temp\msdubmn.bat
Самоудаляется.
Сетевая активность:
Подключается к:
- 'lo###yday04.in':80
- 'lo###yday03.in':80
- 'lo###yday06.in':80
- 'lo###yday05.in':80
- '8.#.8.8':53
- '8.#.4.4':53
- 'lo###yday02.ine':80
- 'lo###yday01.in':80
TCP:
Запросы HTTP POST:
- http://lo###yday04.in/image.php
- http://lo###yday05.in/image.php
- http://lo###yday06.in/image.php
- http://lo###yday01.in/image.php
- http://lo###yday02.ine/image.php
- http://lo###yday03.in/image.php
UDP:
- DNS ASK lo###yday04.in
- DNS ASK lo###yday05.in
- DNS ASK lo###yday06.in
- DNS ASK lo###yday01.in
- DNS ASK lo###yday02.ine
- DNS ASK lo###yday03.in
