Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%CommonProgramFiles%\query.com'
- '%CommonProgramFiles%\string.bat'
- '%CommonProgramFiles%\over.exe' /nogui %CommonProgramFiles%\flow.txt
- '%CommonProgramFiles%\string.bat' (загружен из сети Интернет)
- '%CommonProgramFiles%\over.exe' (загружен из сети Интернет)
- '%CommonProgramFiles%\query.com' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c <Текущая директория>\<Имя вируса>.bat
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\90e0252de1e8e15ad30d4c8d1080f73d[1].jpg
- %CommonProgramFiles%\query.com
- <Текущая директория>\<Имя вируса>.bat
- %CommonProgramFiles%\string.bat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\cd7ab0dc7e247941a899dbb404e75b10[1].jpg
- %CommonProgramFiles%\over.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\30f3680e007d924960fd65524de36601[1].jpg
- %CommonProgramFiles%\flow.txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\391779349471b28f1714d74a48d0ebe6[1].jpg
Самоудаляется.
Сетевая активность:
Подключается к:
- 'pi##lace.us':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- pi##lace.us/images/cd7ab0dc7e247941a899dbb404e75b10.jpg
- pi##lace.us/images/90e0252de1e8e15ad30d4c8d1080f73d.jpg
- pi##lace.us/images/30f3680e007d924960fd65524de36601.jpg
- pi##lace.us/images/391779349471b28f1714d74a48d0ebe6.jpg
UDP:
- DNS ASK pi##lace.us
