Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\SA.DAT
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet003\Services\Schedule] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet002\Services\Schedule] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\Schedule] 'Start' = '00000002'
Заражает следующие исполняемые системные файлы:
- <DRIVERS>\beep.sys
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\dllcache\beep.sys файлом <SYSTEM32>\dllcache\beep.sys.new
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\svchost.exe -k Schedule
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\hapfiv.dll
- <SYSTEM32>\dllcache\beep.sys.new
- <SYSTEM32>\0005069c.sys
- <SYSTEM32>\vbteko.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'mo###.ns3.name':8888
- 'ca####.mydad.info':8090
UDP:
- DNS ASK mo###.ns3.name
- DNS ASK ca####.mydad.info
