Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%CommonProgramFiles%\antispy.com'
- '%CommonProgramFiles%\chmod.bat'
- '%CommonProgramFiles%\erase.exe' /nogui %CommonProgramFiles%\cmderase.txt
- '%CommonProgramFiles%\chmod.bat' (загружен из сети Интернет)
- '%CommonProgramFiles%\erase.exe' (загружен из сети Интернет)
- '%CommonProgramFiles%\antispy.com' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c <Текущая директория>\<Имя вируса>.bat
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\winbat[1].jpg
- %CommonProgramFiles%\antispy.com
- <Текущая директория>\<Имя вируса>.bat
- %CommonProgramFiles%\chmod.bat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\build[1].jpg
- %CommonProgramFiles%\erase.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\avenger[1].jpg
- %CommonProgramFiles%\cmderase.txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\linhas[1].jpg
Самоудаляется.
Сетевая активность:
Подключается к:
- 'www.ca####losepi.com.br':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- www.ca####losepi.com.br/build.jpg
- www.ca####losepi.com.br/winbat.jpg
- www.ca####losepi.com.br/avenger.jpg
- www.ca####losepi.com.br/linhas.jpg
UDP:
- DNS ASK www.ca####losepi.com.br
