Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe' -k swprv
- '<SYSTEM32>\taskhost.exe' $(Arg0)
- '<SYSTEM32>\wermgr.exe' -queuereporting
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\thumbdb.bat" "
- '<SYSTEM32>\vssadmin.exe' Delete Shadows /All /Quiet
- '<SYSTEM32>\vssvc.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\steel_pr
- C:\ProgramData\Microsoft\RAC\Temp\sqlC6E6.tmp
- C:\ProgramData\Microsoft\RAC\Temp\sqlC707.tmp
- %HOMEPATH%\steel_pb
- <Текущая директория>\thumbdb.bat
- C:\ProgramData\Microsoft\RAC\Temp\sql8536.tmp
- C:\ProgramData\Microsoft\RAC\Temp\sql8516.tmp
Удаляет следующие файлы:
- %HOMEPATH%\steel_pb
- %HOMEPATH%\steel_pr
- C:\ProgramData\Microsoft\RAC\Temp\sql8536.tmp
- C:\ProgramData\Microsoft\RAC\Temp\sql8516.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- 'sm##.##problembro.com':25
- '94.##0.191.201':25
- 'www.ad##e.com':80
- 'ch####p.dyndns.org':80
TCP:
Запросы HTTP GET:
- ch####p.dyndns.org/
- www.ad##e.com/
UDP:
- DNS ASK sm##.mail.ru
- DNS ASK dn#.##ftncsi.com
- DNS ASK sm##.##problembro.com
- DNS ASK www.ad##e.com
- DNS ASK ch####p.dyndns.org
