Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\WinUpdatedata.exe'
- '<SYSTEM32>\GbpServer.exe'
- '<SYSTEM32>\WinUpdatedata.exe' (загружен из сети Интернет)
- '<SYSTEM32>\GbpServer.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' /s %WINDIR%\Dynamic.dll
- '%WINDIR%\explorer.exe' http://www.ne###te.com.br
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\GbpServer.exe
- <SYSTEM32>\WinUpdatedata.exe
- %WINDIR%\Dynamic.dll
Сетевая активность:
Подключается к:
- 'www.wi#####eenline.kit.net':80
- 'www.ne###te.com.br':80
- 'localhost':1036
- 'localhost':1038
TCP:
Запросы HTTP GET:
- www.wi#####eenline.kit.net/mega/modulo1.txt
- www.ne###te.com.br/
- www.wi#####eenline.kit.net/mega/dynamic.jpg
- www.wi#####eenline.kit.net/mega/avisos.txt
UDP:
- DNS ASK www.ne###te.com.br
- DNS ASK www.wi#####eenline.kit.net
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
