Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\wind.exe'
- '<DRIVERS>\drvlite.exe'
- '<DRIVERS>\drvchk.exe'
- '<DRIVERS>\drvlite.exe' (загружен из сети Интернет)
- '<DRIVERS>\drvchk.exe' (загружен из сети Интернет)
- 'C:\wind.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- C:\tempfill.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\Zt[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\Mt[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\Cr[1].jpg
- <DRIVERS>\tempfill.tmp
Перемещает следующие файлы:
- C:\tempfill.tmp.ttt в C:\tempfill.tmp.ddd
- C:\tempfill.tmp.ddd в C:\wind.exe
- <DRIVERS>\tempfill.tmp.ddd в <DRIVERS>\drvlite.exe
- C:\tempfill.tmp в C:\tempfill.tmp.ttt
- <DRIVERS>\tempfill.tmp в <DRIVERS>\tempfill.tmp.ttt
- <DRIVERS>\tempfill.tmp.ttt в <DRIVERS>\tempfill.tmp.ddd
- <DRIVERS>\tempfill.tmp.ddd в <DRIVERS>\drvchk.exe
Сетевая активность:
Подключается к:
- 'us####.jabry.com':80
- 'po#####cantinho.com.br':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- po#####cantinho.com.br/blog/Zt.jpg
- us####.jabry.com/sonaboa/Mt.jpg
- po#####cantinho.com.br/blog/Cr.jpg
UDP:
- DNS ASK us####.jabry.com
- DNS ASK po#####cantinho.com.br
