Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Winjava' = '"%PROGRAM_FILES%\Javabin\Winjava.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\Javabin\Winjava.exe' "<Полный путь к вирусу>"
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %PROGRAM_FILES%\Javabin\Winjava5.dll
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Javabin\Winjava5.dll
- %PROGRAM_FILES%\Javabin\Winjava00.dll
- %PROGRAM_FILES%\Javabin\Winjava.dat
- %WINDIR%\1.MZP
- %PROGRAM_FILES%\Javabin\1.MZP
- %PROGRAM_FILES%\Javabin\Winjava.exe
Удаляет следующие файлы:
- %PROGRAM_FILES%\Javabin\Winjava.dat
- %WINDIR%\1.MZP
Сетевая активность:
Подключается к:
- 'bi#####03.0catch.com':80
- 'ar######t2003.no-ip.info':85
- 'me####s.lycos.co.uk':80
- 'ar#####ct.0catch.com':80
TCP:
Запросы HTTP GET:
- http://bi#####03.0catch.com/lop/mine.txt
- http://ar#####ct.0catch.com/mine.txt
- http://me####s.lycos.co.uk/architect2003/mine.txt
UDP:
- DNS ASK bi#####03.0catch.com
- DNS ASK ar######t2003.no-ip.info
- DNS ASK me####s.lycos.co.uk
- DNS ASK ar#####ct.0catch.com
