Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] '*VaultBackup' = '"<Полный путь к вирусу>"'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Vault' = '"<Полный путь к вирусу>"'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\vssadmin.exe' Delete Shadows /All /Quiet
- '<SYSTEM32>\wbem\wmic.exe' shadowcopy delete
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\vrhjxbmt.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES2.tmp" "%TEMP%\CSC1.tmp"
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\wbem\AutoRecover\C8463ECBE33BC240263A0B094E46D510.mof
- <Текущая директория>\sfile
- %TEMP%\tmp4.tmp
- <SYSTEM32>\wbem\Logs\WMIC.LOG
- <SYSTEM32>\wbem\AutoRecover\23BDE61F1F4FACE17E9B0C01F2A1FD9B.mof
- %TEMP%\tmp5.tmp
- %TEMP%\tmp3.tmp
- %TEMP%\vrhjxbmt.out
- %TEMP%\vrhjxbmt.cmdline
- %TEMP%\vrhjxbmt.0.cs
- %TEMP%\vrhjxbmt.dll
- %TEMP%\RES2.tmp
- %TEMP%\CSC1.tmp
Удаляет следующие файлы:
- %TEMP%\tmp3.tmp
- %TEMP%\vrhjxbmt.0.cs
- %TEMP%\tmp5.tmp
- %TEMP%\tmp4.tmp
- %TEMP%\vrhjxbmt.out
- %TEMP%\CSC1.tmp
- %TEMP%\RES2.tmp
- %TEMP%\vrhjxbmt.dll
- %TEMP%\vrhjxbmt.cmdline
Сетевая активность:
Подключается к:
- 'sa####ndfussball.de':80
- 'www.cw##rs.nl':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- sa####ndfussball.de/content/redirect.php?lo####
- www.cw##rs.nl/wp-admin/includes/redirect.php?lo####
- wp#d/wpad.dat
Запросы HTTP POST:
- www.cw##rs.nl/wp-admin/includes/redirect.php?lo####
UDP:
- DNS ASK sa####ndfussball.de
- DNS ASK www.cw##rs.nl
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
