Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\pzhem.exe'
- '%TEMP%\ppvth.exe'
- '%TEMP%\gzwvg.exe'
- '%TEMP%\pzhem.exe' (загружен из сети Интернет)
- '%TEMP%\ppvth.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\h76-3[1].rar
- %TEMP%\pzhem.exe
- %TEMP%\ppvth.exe
- %TEMP%\gzwvg.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\12-1[1].rar
Самоудаляется.
Сетевая активность:
Подключается к:
- 'af####ty-law.com':80
- 'bi#####eandwilinsky.com':80
- '94.##.247.202':80
TCP:
Запросы HTTP GET:
- 94.##.247.202/1208uk1/CRNJEUFU/41/5/4/
- af####ty-law.com/wp-content/uploads/h76-3.rar
- 94.##.247.202/1208h/CRNJEUFU/41/5/4/
- bi#####eandwilinsky.com/vcards/12-1.rar
- 94.##.247.202/1208uk1/CRNJEUFU/0/51-SP2/0/
- 94.##.247.202/1208uk1/CRNJEUFU/1/0/0/
- 94.##.247.202/1208h/CRNJEUFU/1/0/0/
UDP:
- DNS ASK af####ty-law.com
- DNS ASK bi#####eandwilinsky.com
