Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\G3-tmp_.exe
- %TEMP%\G2-tmp.exe http://my###avids.com/drv32.data "%TEMP%\G3-tmp"
- %TEMP%\G3-tmp_.exe (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c ""c:\tmp.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\drv32[1].data
- %TEMP%\G3-tmp_.exe
- C:\tmp.bat
- %TEMP%\G1-tmp
- %TEMP%\G2-tmp
- %TEMP%\G2-tmp.exe
Удаляет следующие файлы:
- %TEMP%\G2-tmp
- %TEMP%\G2-tmp.exe
- %TEMP%\G1-tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\drv32[1].data
Сетевая активность:
Подключается к:
- 'my###avids.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- my###avids.com/drv32.data
UDP:
- DNS ASK my###avids.com
