Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\Temp\CC.exe'
- '%WINDIR%\Temp\ERUNT.EXE' %WINDIR%\ATS_REG_BACKUP /noconfirmdelete
- '%WINDIR%\Temp\CC.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' user %USERNAME% active:yes
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\ATS_REG_BACKUP\system
- %WINDIR%\ATS_REG_BACKUP\default
- %WINDIR%\ATS_REG_BACKUP\SAM
- %WINDIR%\ATS_REG_BACKUP\software
- %WINDIR%\ATS_REG_BACKUP\SECURITY
- %WINDIR%\ATS_REG_BACKUP\ERDNT.INF
- %WINDIR%\ATS_REG_BACKUP\ERDNT.CON
- %WINDIR%\ATS_REG_BACKUP\ERDNTDOS.LOC
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ATS_CallingCard_Down_v2.0[1].exe
- %WINDIR%\Temp\CC.exe
- %WINDIR%\ATS_REG_BACKUP\ERDNTWIN.LOC
- %WINDIR%\ATS_REG_BACKUP\Users\00000001\NTUSER.DAT
- %WINDIR%\ATS_REG_BACKUP\Users\00000002\UsrClass.dat
- %WINDIR%\ATS_REG_BACKUP\ERDNT.EXE
- %TEMP%\aut3.tmp
- %WINDIR%\Temp\ERDNTWIN.LOC
- %TEMP%\aut4.tmp
- %WINDIR%\Temp\ERDNTDOS.LOC
- %TEMP%\aut1.tmp
- %WINDIR%\Temp\ERDNT.E_E
- %TEMP%\aut2.tmp
- %TEMP%\aut7.tmp
- %WINDIR%\Temp\README.TXT
- %WINDIR%\ATS_REG_BACKUP\BackupCreatedOn.txt
- %WINDIR%\Temp\ERUNT.LOC
- %WINDIR%\Temp\ERUNT.EXE
- %TEMP%\aut5.tmp
- %TEMP%\aut6.tmp
Удаляет следующие файлы:
- %TEMP%\aut7.tmp
- %TEMP%\aut6.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ATS_CallingCard_Down_v2.0[1].exe
- %WINDIR%\ATS_REG_BACKUP\BackupCreatedOn.txt
- %TEMP%\aut5.tmp
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
- %TEMP%\aut4.tmp
- %TEMP%\aut3.tmp
Сетевая активность:
Подключается к:
- 'ic######.#dvancedtechsupport.com':80
TCP:
Запросы HTTP GET:
- ic######.#dvancedtechsupport.com/ATS_CallingCard_Down_v2.0.exe
UDP:
- DNS ASK ic######.#dvancedtechsupport.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
