Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\vfgiu.exe' fechh
- '<SYSTEM32>\adhits.exe'
- '<SYSTEM32>\ycqd.exe'
- '<SYSTEM32>\fechh.exe'
- '<SYSTEM32>\vgewpcrt.exe' fechh
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\adhits.exe
- <SYSTEM32>\asdf.dll
- <SYSTEM32>\tsmfl.dll
- <SYSTEM32>\Log\Install.log
- <SYSTEM32>\tslablec.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\homepagepic[1].aspx
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Жф¶ЇдЇААЖч.lnk
- <SYSTEM32>\ClearTemp.exe
- <Текущая директория>\perffilt.ini
- %TEMP%\~TMP32BF.tmp
- %TEMP%\nsf2.tmp\System.dll
- %TEMP%\nsf2.tmp\AccessControl.dll
- <SYSTEM32>\Launch_IE.exe
- <SYSTEM32>\IEMon.exe
- <SYSTEM32>\Launcher.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\vfgiu.exe
- <SYSTEM32>\fxiph.dll
- <SYSTEM32>\Log\Install.log
- <SYSTEM32>\ycqd.exe
- %TEMP%\~TMP32BF.tmp
- <SYSTEM32>\fechh.exe
- <SYSTEM32>\vgewpcrt.exe
Удаляет следующие файлы:
- %TEMP%\nsf2.tmp\System.dll
- %TEMP%\nsf2.tmp\AccessControl.dll
Перемещает следующие файлы:
- <SYSTEM32>\ClearTemp.exe в <SYSTEM32>\vfgiu.exe
- <SYSTEM32>\tsmfl.dll в <SYSTEM32>\fxiph.dll
- <SYSTEM32>\Launch_IE.exe в <SYSTEM32>\ycqd.exe
- <SYSTEM32>\Launcher.exe в <SYSTEM32>\fechh.exe
- <SYSTEM32>\IEMon.exe в <SYSTEM32>\vgewpcrt.exe
Сетевая активность:
Подключается к:
- 'www.9i##.com':80
- 'hi##.#etbarad.net':80
- 'co####.netbarad.net':80
TCP:
Запросы HTTP GET:
- www.9i##.com/erro.jpg
- co####.netbarad.net/homepagepic.aspx?us###############################
UDP:
- DNS ASK www.9i##.com
- DNS ASK hi##.#etbarad.net
- DNS ASK co####.netbarad.net
