Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<Текущая директория>\Sazpknekk.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\kill.bat""
- '<SYSTEM32>\regsvr32.exe' <SYSTEM32>\MSSTDFMT.DLL /s
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\kill.bat
- <Текущая директория>\Sazpknekk.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\ip2city[1].asp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\Role1231[1].txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ips[1].asp
- <Текущая директория>\TABCTL32.OCX
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ip2city[1].asp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ips[1].asp
- <SYSTEM32>\MSSTDFMT.DLL
- <SYSTEM32>\COMDLG32.OCX
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ips[1].asp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ip2city[1].asp
- %TEMP%\~DF22A3.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- 'localhost':1038
- 'bm#####51.chinaw3.com':80
- 'localhost':1035
- 'www.ip##8.com':80
TCP:
Запросы HTTP GET:
- bm#####51.chinaw3.com/Role1231.txt
- www.ip##8.com/ips.asp?ip#
- www.ip##8.com/ip2city.asp
UDP:
- DNS ASK bm#####51.chinaw3.com
- DNS ASK www.ip##8.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
