Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 'msseces' = '{2E094334-7247-41B7-A759-D5EA4E1430ED}'
Вредоносные функции:
Запускает на исполнение:
- %WINDIR%\explorer.exe
Изменения в файловой системе:
Создает следующие файлы:
- C:\ProgramData\Java\jre6\bin\jcfg.pdb
- C:\ProgramData\Java\jre6\bin\readme.txt
- C:\ProgramData\Java\jre6\bin\jwdeploy.dll
Удаляет следующие файлы:
- C:\ProgramData\Java\jre6\bin\readme.txt
- %TEMP%\qqw1.tmp
Самоперемещается:
- из <Полный путь к вирусу> в <Текущая директория>\err_3_244_1998166001_32.pdb
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ka###madan.in':80
TCP:
Запросы HTTP POST:
- ka###madan.in/myhaadmin/qrqweZ0p8r.php
UDP:
- DNS ASK ka###madan.in
