Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:SweetSDM S...
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\1465873746_147953_859.tmp
- %TEMP%\SweetIMSetup.7z
- %TEMP%\mgsqlite3.7z
- %TEMP%\SweetIESetup.7z
- %TEMP%\1465873746_148265_859.tmp
- %HOMEPATH%\Desktop\Continue Jewel Quest 3 Installation.lnk
- %TEMP%\<Имя вируса>.exe
- %TEMP%\1465873743_145609_382.tmp
- %TEMP%\1465873746_147859_859.tmp
- %TEMP%\JewelQuest3.exe
Удаляет следующие файлы:
- %TEMP%\1465873746_147953_859.tmp
- %TEMP%\1465873746_148265_859.tmp
- %TEMP%\1465873743_145609_382.tmp
- %TEMP%\1465873746_147859_859.tmp
Сетевая активность:
Подключается к:
- 'cd#.####load.sweetim.com':80
- 'co####t.sweetim.com':80
- 'dt#.###eridegames.com':80
TCP:
Запросы HTTP GET:
- http://cd#.####load.sweetim.com/download/sweetpacks/sim/SweetIMSetup.7z
- http://cd#.####load.sweetim.com/download/sweetpacks/sim/SweetIESetup.7z
- http://cd#.####load.sweetim.com/download/sweetpacks/sim/mgsqlite3.7z
- http://dt#.###eridegames.com/freeride_marketing/Partners/sweetIM/EXEtender_SweetWL_US_0000004JQ.exe
- http://co####t.sweetim.com/bi/track.gif?pr#######################################################################################################################################################...
UDP:
- DNS ASK cd#.####load.sweetim.com
- DNS ASK co####t.sweetim.com
- DNS ASK dt#.###eridegames.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
