Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'enuriupdate' = ''
Заражает следующие исполняемые системные файлы:
- <SYSTEM32>\msvbvm60.dll
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\enuriupdate.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\run[1].php
- %TEMP%\rad61889.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\enuriupdate[1].htm
- <SYSTEM32>\enuriupdate.exe
- <SYSTEM32>\MSINET.OCX
- <SYSTEM32>\VB6KO.DLL
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\run[1].php
Сетевая активность:
Подключается к:
- 'up#.##sualwork.kr':80
- 'pr#.##mworld.com':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- pr#.##mworld.com/run.php
Запросы HTTP POST:
- up#.##sualwork.kr/enuriupdate.php
UDP:
- DNS ASK up#.##sualwork.kr
- DNS ASK pr#.##mworld.com
