Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'svchost' = '<Full path to virus>'
Modifies file system :
Creates the following files:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\p7rk[1].gif
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\p7rk[1].gif
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\p7rk[1].gif
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ip[1].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\infec[1].php
Deletes the following files:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\p7rk[1].gif
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\p7rk[1].gif
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\p7rk[1].gif
Network activity:
Connects to:
- 'localhost':1044
- 'localhost':1041
- 'localhost':1050
- 'localhost':1047
- 'www.up####2.xpg.com.br':80
- 'us####os.lycos.es':80
- 'localhost':1035
- 'www.up####1.xpg.com.br':80
- 'localhost':1038
TCP:
HTTP GET requests:
- www.up####1.xpg.com.br/p7rk.gif
- www.up####2.xpg.com.br/p7rk.gif
- us####os.lycos.es/atividades2007/ip.php
- us####os.lycos.es/atividades2007/infec.php?np#################################################################################################################
UDP:
- DNS ASK www.up####2.xpg.com.br
- DNS ASK www.up####1.xpg.com.br
- DNS ASK us####os.lycos.es
Miscellaneous:
Searches for the following windows:
- ClassName: '' WindowName: 'Nao permita que outras pessoas conhecam os seus dados de acesso - Mozilla Firefox'
- ClassName: '' WindowName: 'Nao enviamos e-mail sem a sua permissao - Mozilla Firefox'
- ClassName: '' WindowName: 'Nao abra arquivos de origem desconhecida - Mozilla Firefox'
- ClassName: '' WindowName: 'Verifique um pequeno cadeado fechado na parte inferior do navegador - Mozilla Firefox'
- ClassName: '' WindowName: 'Memorize suas senhas sem anota-las - Mozilla Firefox'
- ClassName: '' WindowName: 'Nao abra e-mail de origem desconhecida - Mozilla Firefox'
- ClassName: '' WindowName: 'Sempre consulte esta pagina para novas informacoes sobre seguranca - Mozilla Firefox'
- ClassName: '' WindowName: 'Nao faca alteracao cadastral por e-mail - Mozilla Firefox'
- ClassName: '' WindowName: 'Nao use atalhos em e-mail para acessar o site. Digite o endereco direto no navegador - Mozilla Firefox'
- ClassName: '' WindowName: 'Evite que outras pessoas vejam voce digitar sua senha - Mozilla Firefox'
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: '' WindowName: 'Evite abrir arquivos executaveis anexados as suas mensagens - Mozilla Firefox'
- ClassName: '' WindowName: 'Cuidado com links e downloads contidos em mensagens promocionais - Mozilla Firefox'
- ClassName: '' WindowName: 'Note se no inicio do campo ""endereco"" surgem as letras ""https"" - Mozilla Firefox'
- ClassName: '' WindowName: 'Escolha ""senhas"" diferentes do seu nascimento, CPF e n? sequenciais - Mozilla Firefox'
- ClassName: '' WindowName: 'Sempre consulte esta pagina para novas informacoes sobre seguranca - Microsoft Internet Explorer'
- ClassName: '' WindowName: 'Nao faca alteracao cadastral por e-mail - Microsoft Internet Explorer'
- ClassName: '' WindowName: 'Nao permita que outras pessoas conhecam os seus dados de acesso - Microsoft Internet Explorer'
- ClassName: '' WindowName: 'Nao enviamos e-mail sem a sua permissao - Microsoft Internet Explorer'
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: '' WindowName: 'Memorize suas senhas sem anota-las - Microsoft Internet Explorer'
- ClassName: '' WindowName: 'Nao abra e-mail de origem desconhecida - Microsoft Internet Explorer'
- ClassName: '' WindowName: 'Note se no inicio do campo ""endereco"" surgem as letras ""https"" - Microsoft Internet Explorer'
- ClassName: '' WindowName: 'Escolha ""senhas"" diferentes do seu nascimento, CPF e n? sequenciais - Microsoft Internet Explorer'
- ClassName: '' WindowName: 'Nao use atalhos em e-mail para acessar o site. Digite o endereco direto no navegador - Microsoft Internet Explorer'
- ClassName: '' WindowName: 'Evite que outras pessoas vejam voce digitar sua senha - Microsoft Internet Explorer'
- ClassName: '' WindowName: 'Nao abra arquivos de origem desconhecida - Microsoft Internet Explorer'
- ClassName: '' WindowName: 'Verifique um pequeno cadeado fechado na parte inferior do navegador - Microsoft Internet Explorer'
- ClassName: '' WindowName: 'Evite abrir arquivos executaveis anexados as suas mensagens - Microsoft Internet Explorer'
- ClassName: '' WindowName: 'Cuidado com links e downloads contidos em mensagens promocionais - Microsoft Internet Explorer'