Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\2.exe' "%APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default"
- '<SYSTEM32>\3.exe' /stext 3.txt
- '<SYSTEM32>\vmailer.exe' b0dy.txt mail.gmx.net steampowered@windowslive.com m.mendelson@gmx.de m.mendelson@gmx.de hannelore
- '<SYSTEM32>\2.exe'
- 'C:\PATCH.EXE'
- 'C:\WIN$.EXE'
- '<SYSTEM32>\1.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""<SYSTEM32>\mailer.bat" "
- '<SYSTEM32>\cmd.exe' /c ""<SYSTEM32>\exec.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- C:\2.exe
- C:\err_log.txt
- <SYSTEM32>\3.exe
- <SYSTEM32>\exec.bat
- <SYSTEM32>\mailer.bat
- <SYSTEM32>\b0dy.txt
- <SYSTEM32>\1.txt
- <SYSTEM32>\BASSMOD.dll
- C:\WIN$.EXE
- C:\PATCH.EXE
- <SYSTEM32>\vmailer.exe
- <SYSTEM32>\2.exe
- <SYSTEM32>\1.exe
Удаляет следующие файлы:
- <SYSTEM32>\3.exe
- <SYSTEM32>\vmailer.exe
- <SYSTEM32>\exec.bat
- %TEMP%\~DFC113.tmp
- C:\err_log.txt
- <SYSTEM32>\2.exe
- <SYSTEM32>\mailer.bat
- C:\2.exe
- <SYSTEM32>\1.txt
- <SYSTEM32>\1.exe
- <SYSTEM32>\b0dy.txt
Сетевая активность:
Подключается к:
- 'ma##.gmx.net':25
UDP:
- DNS ASK ma##.gmx.net
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
