Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\is-VD362.tmp\dm.exe' /VERYSILENT go=ofcourse channel_id=01 country_id= product_id= version_id= key_id=
- '%TEMP%\is-GS69V.tmp\<Имя вируса>.tmp' /SL5="$30092,139935,56832,<Полный путь к вирусу>"
- '%TEMP%\is-VD362.tmp\dm.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\is-VD362.tmp\itdownload.dll
- %TEMP%\is-VD362.tmp\dm.exe
- %TEMP%\is-GS69V.tmp\<Имя вируса>.tmp
- %TEMP%\is-VD362.tmp\_isetup\_shfoldr.dll
Сетевая активность:
Подключается к:
- 'dl.###ertareyou.com':80
- 'ad#.##giedepub.com':80
TCP:
Запросы HTTP GET:
- ad#.##giedepub.com/cgi-bin/advert/settags?x_#########################################################################
- ad#.##giedepub.com/cgi-bin/advert/settags?x_######################################################################
- ad#.##giedepub.com/cgi-bin/advert/settags?x_#######################################################################
- dl.###ertareyou.com/download/dyn/dm.exe
UDP:
- DNS ASK dl.###ertareyou.com
- DNS ASK ad#.##giedepub.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
