Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\MPAccess\F3.exe (загружен из сети Интернет)
- %PROGRAM_FILES%\MPAccess\Falled.exe (загружен из сети Интернет)
- %PROGRAM_FILES%\MPAccess\11FDD.exe (загружен из сети Интернет)
- %PROGRAM_FILES%\MPAccess\windoFwsh.exe (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\MPAccess\11FDD.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\ULU3YH2D\awindowsh[1]
- %TEMP%\nsc4.tmp\nsProcess.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\a1000-105[1]
- %PROGRAM_FILES%\MPAccess\windoFwsh.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\a0[1]
- %PROGRAM_FILES%\MPAccess\Falled.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\SL6TKFAX\a3[1]
- %PROGRAM_FILES%\MPAccess\F3.exe
- %TEMP%\nsc4.tmp\registry.dll
- %TEMP%\nsn2.tmp\regb
- %TEMP%\nsn2.tmp\rep
- %TEMP%\nsn2.tmp\System.dll
- %TEMP%\nsn2.tmp\NSISdl.dll
- %TEMP%\nsn2.tmp\asf.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\eula[1]
- %TEMP%\nsn2.tmp\teFst.htm
- %TEMP%\nsc4.tmp\System.dll
- %TEMP%\nsc4.tmp\inetc.dll
Сетевая активность:
Подключается к:
- '17#.#42.208.38':80
- 'www.ab###own.com':80
- 'www.in####t-find.com':80
TCP:
Запросы HTTP GET:
- 17#.#42.208.38/f3/awindowsh.exe?Fa
- 17#.#42.208.38/f3/a3.exe?Fa
- 17#.#42.208.38/f3/a0.exe?Fa####
- 17#.#42.208.38/f3/a1000-105.exe?Fa
- www.in####t-find.com/regad/{4CF38770-8652-4E47-A82F-2C7E531508A4}|1|0
- www.ab###own.com/?st############
- 17#.#42.208.38/eula.cgi?BU################
UDP:
- DNS ASK www.ab###own.com
- DNS ASK www.in####t-find.com
Другое:
Ищет следующие окна:
- ClassName: '#32770' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
