Техническая информация
Для обеспечения автозапуска и распространения:
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\midimap.dll файлом <SYSTEM32>\midimap.dll
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c %TEMP%\ahnmove.bat
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\tuh28uwi.dll
- %TEMP%\Hwhu.dll
- %TEMP%\tuh28uwi.dll
- %TEMP%\ahnmove.bat
- <SYSTEM32>\essue8ie.dll
- %TEMP%\essue8ie.dll
- %TEMP%\C1.zip
- %TEMP%\B1.zip
- %TEMP%\A1.zip
- %TEMP%\yhsys\doit.rar
- <SYSTEM32>\wshtcpip.dll
- %TEMP%\D1.zip
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\post[1].asp
- <SYSTEM32>\midimap.dll
- <SYSTEM32>\wshtcpip.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- '20#.#09.139.251':80
TCP:
Запросы HTTP GET:
- 20#.#09.139.251/post.asp?ma############################################################################################################################
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
