Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\clearer.exe' www.bo####hockey.net vls_proigrivatel__torrent.zip
- '%TEMP%\ext.exe'
- '%TEMP%\fffsetup.exe' 663d69e367bc883aa7867df6b5228c5a www.bo####hockey.net /images/srvr/partner/send.php 2
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\cmd.exe' /c ""%PROGRAM_FILES%\Request Sample\Subscribe to SERVO\e0323a9039add2978bf5b49550572c7c.bat" "
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\clearer.exe.bat" clearer.exe www.bo####hockey.net vls_proigrivatel__torrent.zip"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\fffsetup.exe.bat" fffsetup.exe 663d69e367bc883aa7867df6b5228c5a www.bo####hockey.net /images/srvr/partner/send.php 2"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\ext.exe.bat" ext.exe "
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Request Sample\Subscribe to SERVO\сс\kolu.pa
- %TEMP%\$inst\temp_0.tmp
- %PROGRAM_FILES%\Request Sample\Subscribe to SERVO\e0323a9039add2978bf5b49550572c7c.bat
- %PROGRAM_FILES%\Request Sample\Subscribe to SERVO\сс\a964065211872fb76f876c6c3e952ea3.vbs
- %PROGRAM_FILES%\Request Sample\Subscribe to SERVO\сс\d68005ccf362b82d084551b6291792a3.vbs
- %TEMP%\ext.exe
- %TEMP%\fffsetup.exe
- %TEMP%\clearer.exe
- %TEMP%\a4e13c38956f4d279e706112e3a249e0
- %TEMP%\$inst\2.tmp
Удаляет следующие файлы:
- %TEMP%\clearer.exe
- %TEMP%\fffsetup.exe
- %TEMP%\a4e13c38956f4d279e706112e3a249e0
- %TEMP%\$inst\temp_0.tmp
Изменяет файл HOSTS.
Сетевая активность:
UDP:
- DNS ASK www.bo####hockey.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
