Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\autru1] 'Startup' = 'OnStartup'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\autru1] 'Dllname' = 'autru1.dll'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\xp_keygen.exe
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\winlogon.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\autru1.dll
- %TEMP%\xp_keygen.exe
Сетевая активность:
Подключается к:
- '83.##9.75.49':80
- '85.#7.3.250':80
TCP:
Запросы HTTP GET:
- 85.#7.3.250/trafc-2/rfe.php?cm#########################################################################################
- 85.#7.3.250/trafc-2/rfe.php?cm########################################################################
Запросы HTTP POST:
- 83.##9.75.49/
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Duncan Monitor'
- ClassName: 'Shell_TrayWnd' WindowName: ''
