Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\mujy.exe
- <Имя диска съемного носителя>:\autorun.inf
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\winlogon.exe' = '<SYSTEM32>\winlogon.exe:*:enabled:@shell32.dll,-1'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:ipsec'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
- Центр обеспечения безопасности (Security Center)
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Устраняет перехваты фукнций в SSDT (System Service Descriptor Table).
Изменения в файловой системе:
Создает следующие файлы:
- C:\autorun.inf
- C:\gjdeh.exe
- %TEMP%\winokynk.exe
- %TEMP%\huqw.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\mujy.exe
- C:\autorun.inf
- C:\gjdeh.exe
Удаляет следующие файлы:
- %TEMP%\huqw.exe
- %TEMP%\winokynk.exe
Сетевая активность:
Подключается к:
- 'il#.#renz.pl':80
UDP:
- DNS ASK il#.#renz.pl
- '<IP-адрес в локальной сети>':1038
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
