Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{3XY14066-01QS-02A1-7G20-O1UG826SB82E}] 'StubPath' = '%WINDIR%\systems\msnmsgss.exe Restart'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'HKCU' = ''
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'HKLM' = ''
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\systems\msnmsgss.exe
- %TEMP%\winamp\svhost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\%USERNAME%log.dat
- %TEMP%\%USERNAME%2.txt
- %TEMP%\%USERNAME%8
- %TEMP%\%USERNAME%7
- <SYSTEM32>\wmimgr32.dl_
- %TEMP%\winamp\svhost.exe
- %WINDIR%\systems\msnmsgss.exe
- <SYSTEM32>\wmimgr32.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\%USERNAME%log.dat
- %WINDIR%\systems\msnmsgss.exe
- %TEMP%\winamp\svhost.exe
Удаляет следующие файлы:
- %TEMP%\%USERNAME%8
- %TEMP%\%USERNAME%7
- <SYSTEM32>\wmimgr32.dl_
- %TEMP%\%USERNAME%2.txt
Сетевая активность:
Подключается к:
- 'an####op.no-ip.info':999
- 'localhost':999
UDP:
- DNS ASK an####op.no-ip.info
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
