Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe'
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\fsg.bat" "
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\3640.tt3617
- %TEMP%\3703.ad3603
- %TEMP%\8578.ad8478
- %TEMP%\3468.ad3368
- %TEMP%\8531.tt8508
- %TEMP%\8781.tt8758
- %TEMP%\8968.tt8945
- %TEMP%\9015.ad8915
- %TEMP%\3921.ad3821
- %TEMP%\8828.ad8728
- %TEMP%\3890.tt3867
- %TEMP%\609.tt586
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\amzrer[1].txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\install[1].asp
- <DRIVERS>\pcidump.txt
- %TEMP%\fsg.bat
- %TEMP%\6468.ad6368
- %TEMP%\8359.ad8259
- %TEMP%\3406.tt3383
- %TEMP%\8296.tt8273
- %TEMP%\3140.tt3117
- %TEMP%\3203.ad3103
Удаляет следующие файлы:
- %TEMP%\3703.ad3603
- %TEMP%\8578.ad8478
- %TEMP%\8828.ad8728
- %TEMP%\9015.ad8915
- %TEMP%\3921.ad3821
- %TEMP%\6468.ad6368
- <DRIVERS>\pcidump.sys
- %TEMP%\3203.ad3103
- %TEMP%\3468.ad3368
- %TEMP%\8359.ad8259
Перемещает следующие файлы:
- <DRIVERS>\pcidump.txt в <DRIVERS>\pcidump.sys
Самоудаляется.
Сетевая активность:
Подключается к:
- 'rf##k.cn':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- rf##k.cn/abrd021x/amzrer.txt
- rf##k.cn/install.asp?u=######################
UDP:
- DNS ASK rf##k.cn
