Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\InstantSupport_Temp_Files\InstantSupportVNC.exe' -kill
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' -n 5 127.0.0.1
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\wscript.exe' "%APPDATA%\InstantSupport_Temp_Files\unblock.js"
- '<SYSTEM32>\cmd.exe' /c %TEMP%\scratch.bat
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\aut6.tmp
- %APPDATA%\InstantSupport_Temp_Files\InstantSupportVNC.exe
- %TEMP%\aut5.tmp
- %APPDATA%\InstantSupport_Temp_Files\unblock.js
- %TEMP%\scratch.bat
- %TEMP%\~DF9510.tmp
- %APPDATA%\InstantSupport_Temp_Files\InstantSupport.exe
- %APPDATA%\InstantSupport_Temp_Files\ultravnc.ini
- %TEMP%\aut2.tmp
- %APPDATA%\InstantSupport_Temp_Files\instantsupport.ini
- %TEMP%\aut1.tmp
- %APPDATA%\InstantSupport_Temp_Files\logo.jpg
- %TEMP%\aut4.tmp
- %APPDATA%\InstantSupport_Temp_Files\SecureVNCPlugin.dsm
- %TEMP%\aut3.tmp
Удаляет следующие файлы:
- %APPDATA%\InstantSupport_Temp_Files\ultravnc.ini
- %APPDATA%\InstantSupport_Temp_Files\instantsupport.ini
- %APPDATA%\InstantSupport_Temp_Files\InstantSupport.exe
- %APPDATA%\InstantSupport_Temp_Files\SecureVNCPlugin.dsm
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- <SYSTEM32>\PerfStringBackup.TMP
- %APPDATA%\InstantSupport_Temp_Files\logo.jpg
- %APPDATA%\InstantSupport_Temp_Files\unblock.js
- %TEMP%\aut3.tmp
- %TEMP%\aut4.tmp
- %TEMP%\aut1.tmp
- %TEMP%\aut2.tmp
- %TEMP%\~DF9510.tmp
- %APPDATA%\InstantSupport_Temp_Files\InstantSupportVNC.exe
- %TEMP%\aut5.tmp
- %TEMP%\aut6.tmp
Сетевая активность:
Подключается к:
- '<IP-адрес в локальной сети>':443
- 'ex#####.repeater.com':443
UDP:
- DNS ASK ex#####.repeater.com
Другое:
Ищет следующие окна:
- ClassName: 'WinVNC Tray Icon' WindowName: ''
- ClassName: 'BUTTON' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
