Техническая информация
Для обеспечения автозапуска и распространения:
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\rpcss.dll файлом <SYSTEM32>\rpcss.dll
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\t329081.exe "%TEMP%\~01bf53.~~~" Inse "%TEMP%\1.tmp"
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Завершает или пытается завершить
следующие пользовательские процессы:
- wow.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\t329081.ini
- <SYSTEM32>\t329081.exe
- <SYSTEM32>\t329081.dll
- %TEMP%\1.tmp
- %TEMP%\2.tmp
- %TEMP%\~01bf53.~~~
Удаляет следующие файлы:
- %TEMP%\~01bf53.~~~
- %TEMP%\2.tmp
- %TEMP%\1.tmp
Перемещает следующие системные файлы:
- <SYSTEM32>\rpcss.dll в <SYSTEM32>\t3rpcss.dll
Сетевая активность:
Подключается к:
- 're#.#-zone.com':80
- 'bf####tewt.178.com':80
- 'bf####tedx.178.com':80
TCP:
Запросы HTTP GET:
- re#.#-zone.com/feed/feedbigfoot.php?m=####################################
UDP:
- DNS ASK re#.#-zone.com
- DNS ASK bf####tedx.178.com
- DNS ASK bf####tewt.178.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
