Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe ""%TEMP%\ins1.tmp"",joauztdcbqsj install
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\ins1.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\uSvveudDAxMkL5bLi0T59bQmEWTlIjc803wx6sO5WPlsaEYUkyegSy10kve9XoGzrqg==[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\JBSLyYdCEKzBz3gaIyofxs0Dlt4cUXjML4rVCrkGMtaQ85R+K8axl3EP6x4zBipM1p7mStWEIQ0nvuIu5JbRbADQTLCPFbXuM8sPDlYxpRgUPmNLr6LGHPrnHZuvMVtdPkXd0brx+fEIJRE3r755r[1]
Самоудаляется.
Сетевая активность:
Подключается к:
- 'es###oden.co.be':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- es###oden.co.be/XkiVyuyucPZUyRdmC2qwSC0uki5oiLjgtUjN+y/Aze/uSvveudDAxMkL5bLi0T59bQmEWTlIjc803wx6sO5WPlsaEYUkyegSy10kve9XoGzrqg==
- es###oden.co.be/JBSLyYdCEKzBz3gaIyofxs0Dlt4cUXjML4rVCrkGMtaQ85R+K8axl3EP6x4zBipM1p7mStWEIQ0nvuIu5JbRbADQTLCPFbXuM8sPDlYxpRgUPmNLr6LGHPrnHZuvMVtdPkXd0brx+fEIJRE3r755r5nqcXqdUK9I7KXWAaT4cNyq0qDkNFFPxLCX0sA6GvcOs4FYjI36QFY=
UDP:
- DNS ASK es###oden.co.be
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
