Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'TcpIpCfg' = 'Rundll32 "%APPDATA%\pwlmplr.dll" MainThread'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c "%APPDATA%\$$Delme1$$.bat"
- '<SYSTEM32>\rundll32.exe' "%APPDATA%\pwlmplr.dll" MainThread
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyOverride' = '<local>'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyServer' = ''
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\ini.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\html[1].txt
- %APPDATA%\HTMLDATA
- %APPDATA%\pwlmplr.dll
- %APPDATA%\$$Delme1$$.bat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\lib2[1].txt
Удаляет следующие файлы:
- %APPDATA%\pwlmplr.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'www.ya##dd.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- www.ya##dd.com/html.txt?vx#####
- www.ya##dd.com/lib2.txt?po#####
UDP:
- DNS ASK www.ya##dd.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
