Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\update .exe'
- '%PROGRAM_FILES%\N N Vpn\Vpn\VPN.exe'
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "%PROGRAM_FILES%\aiwod\call.vbe"
- '<SYSTEM32>\taskkill.exe' /f /im wupdmgr.exe
- '<SYSTEM32>\wscript.exe' "%PROGRAM_FILES%\aiwod\file.VBE"
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG' WindowName: '(null)'
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\aiwod\load.TXT
- %PROGRAM_FILES%\aiwod\listen.TXT
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\nnvpn[1].htm
- %PROGRAM_FILES%\aiwod\file.VBE
- %PROGRAM_FILES%\aiwod\call.VBE
- %WINDIR%\update .exe
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
- %PROGRAM_FILES%\N N Vpn\Vpn\Uninstall.ini
- %PROGRAM_FILES%\N N Vpn\Vpn\Uninstall.exe
- %PROGRAM_FILES%\N N Vpn\Vpn\VPN.exe
Удаляет следующие файлы:
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
Перемещает следующие файлы:
- %PROGRAM_FILES%\aiwod\listen.TXT в %PROGRAM_FILES%\aiwod\listen.exe
- %PROGRAM_FILES%\aiwod\load.TXT в %PROGRAM_FILES%\aiwod\load.bat
Сетевая активность:
Подключается к:
- '30####.hk.5151j.net':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- 30####.hk.5151j.net/nnvpn.htm
UDP:
- DNS ASK 30####.hk.5151j.net
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: '(null)' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
