Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- C:\Temp\crazyloader-1.3-win32.exe
- C:\Temp\crazyloader-1.3-win32.exe (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nso3.tmp\modern-wizard.bmp
- %TEMP%\nso3.tmp\modern-header.bmp
- %TEMP%\nso3.tmp\NSISdl.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\firststart[1].php
- C:\Temp\crazyloader-1.3-win32.exe
- C:\u.tmp
- %TEMP%\nso3.tmpfinish.bmp
- %TEMP%\nsj2.tmp
- %TEMP%\nso3.tmpnsis.bmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\route[1].php
- %TEMP%\nso3.tmp\inetc.dll
Удаляет следующие файлы:
- %TEMP%\nso3.tmp\modern-header.bmp
- %TEMP%\nso3.tmp\modern-wizard.bmp
- %TEMP%\nso3.tmp\NSISdl.dll
- C:\u.tmp
- C:\Temp\crazyloader-1.3-win32.exe
- %TEMP%\nso3.tmp\inetc.dll
Сетевая активность:
Подключается к:
- 'localhost':1039
- 'in#####.#ecurewebsiteaccess.com':80
- 'www.cr###loader.com':80
TCP:
Запросы HTTP GET:
- www.cr###loader.com/firststart.php?sp#######################
- in#####.#ecurewebsiteaccess.com/installer/zcdownload/5f87e340e4543a2f08d3fb8fa6f3c4269b96af543644d51a0189d1426b9dc4c68804b42fd73cfd6409f19edb612382160b8d2891f8cbc1cea6d3e584a62247c74f526e44ca87b06cbfce5087bcba87ec4d5edabbb48b5a5089a3:39c775f9a1815c0fae216afc2bf8fb86?ld##
- www.cr###loader.com/route.php
UDP:
- DNS ASK in#####.#ecurewebsiteaccess.com
- DNS ASK www.cr###loader.com
Другое:
Ищет следующие окна:
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '#32770' WindowName: ''
- ClassName: '' WindowName: ''
