Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ctfmona' = '<SYSTEM32>\ctfmona.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\.tt8.tmp
- %TEMP%\.tt7.tmp
- %TEMP%\.tt6.tmp
- %TEMP%\.tt9.tmp
- %TEMP%\.ttC.tmp
- %TEMP%\.ttB.tmp
- %TEMP%\.ttA.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\checkmd5[1].php
- %TEMP%\.tt1.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\AntiVirusProInstaller_502[1].exe
- %TEMP%\.tt2.tmp
- %TEMP%\.tt5.tmp
- %TEMP%\.tt4.tmp
- %TEMP%\.tt3.tmp
Удаляет следующие файлы:
- %TEMP%\.tt9.tmp
- %TEMP%\.tt8.tmp
- %TEMP%\.tt7.tmp
- %TEMP%\.ttC.tmp
- %TEMP%\.ttB.tmp
- %TEMP%\.ttA.tmp
- %TEMP%\.tt3.tmp
- %TEMP%\.tt1.tmp
- %TEMP%\.tt2.tmp
- %TEMP%\.tt6.tmp
- %TEMP%\.tt5.tmp
- %TEMP%\.tt4.tmp
Самоперемещается:
- из <Полный путь к вирусу> в <SYSTEM32>\ctfmona.exe
Сетевая активность:
Подключается к:
- 'an####irus-pro.com':80
TCP:
Запросы HTTP GET:
- an####irus-pro.com/avp/checkmd5.php?ai#####
- an####irus-pro.com/avp/AntiVirusProInstaller_502.exe
UDP:
- DNS ASK an####irus-pro.com
