Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\tmp1.exe /browser="CHROME.17.0" /cc="US" /chid="203141" /cid="1440508" /con="y" /ix="cusKarimTestA" /lang="en-US" /os="6.1" /v.beatcmd="/setdefaultscreensaver=true /DOMAINID=appkikx|i" /v.installcompleteurl="http://www.do######-fruity-loops.com/download/" /v.installername="Setup.exe" /v.method="interstitial" /v.offer="appkikx,whitesmoke,blinkxbeat,pricepeepchrome,basicscan" /v.rf="3" /v.sel="appkikx,whitesmoke,blinkxbeat,pricepeepchrome,basicscan" /v.sid="8fbdccef053fe36e1899b9b171c91c29369881abcea5be16a8dad81d72082ffc" /ICName="KarimTestA02" /ICVersion="34687"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsi4.tmp\inetc.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\trackedevent[1].htm
- %TEMP%\nsi4.tmp\response.txt
- %TEMP%\nsi4.tmp\System.dll
- %TEMP%\tmp1.exe
- %TEMP%\nsi4.tmp\thlp.dll
- %TEMP%\nsi4.tmp\request.txt
Удаляет следующие файлы:
- %TEMP%\nsi4.tmp\response.txt
- %TEMP%\nsi4.tmp\request.txt
Самоперемещается:
- из <Полный путь к вирусу> в %TEMP%\tmp2.tmp
Сетевая активность:
Подключается к:
- 'dy#.##ingstone.com':80
TCP:
Запросы HTTP POST:
- dy#.##ingstone.com/vic.aspx?ve####################
- dy#.##ingstone.com/trackedevent.aspx?ve####################
UDP:
- DNS ASK dy#.##ingstone.com
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '#32770' WindowName: ''
