Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %APPDATA%\gcswf32.exe (загружен из сети Интернет)
- %APPDATA%\icudt42.exe (загружен из сети Интернет) /nogui %APPDATA%\icudt42.txt
- %APPDATA%\aswutil.exe (загружен из сети Интернет)
- %APPDATA%\aswidle.exe (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\web[1].jpg
- %APPDATA%\gcswf32.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\web[1].gif
- %APPDATA%\icudt42.txt
- %APPDATA%\icudt42.exe
- %APPDATA%\aswidle.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\fire[1].gif
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\webpro[1].gif
- %APPDATA%\aswutil.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\webup[1].gif
Удаляет следующие файлы:
- %TEMP%\~DFA87B.tmp
Сетевая активность:
Подключается к:
- 'fo###b.co.cc':80
TCP:
Запросы HTTP GET:
- fo###b.co.cc/webavg/web.jpg
- fo###b.co.cc/webavg/web.gif
- fo###b.co.cc/webdsm/webup.gif
- fo###b.co.cc/webdsm/fire.gif
- fo###b.co.cc/webdsm/webpro.gif
UDP:
- DNS ASK fo###b.co.cc
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
