Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Irmon] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' -a -r -s -h "<Полный путь к вирусу>"
- '<SYSTEM32>\ipconfig.exe' /flushdns
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\<Имя вируса>.dll,InstallSA Irmon Microsoft IR Monitor Services
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\311984_install.bat" "
- '<SYSTEM32>\cmd.exe' /c %TEMP%\\326593_selfdel.bat
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\326593_selfdel.bat
- %TEMP%\311984_install.bat
- %TEMP%\303140_create.tmp
Перемещает следующие файлы:
- %TEMP%\303140_create.tmp в <SYSTEM32>\<Имя вируса>.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'sm##.#hackdlq.com':9099
UDP:
- DNS ASK sm##.#hackdlq.com
