Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\regsvr32.exe /s <SYSTEM32>\2078.dll
- <SYSTEM32>\cscript.exe <SYSTEM32>\2078.vbs http://ta####oolbar.com/avm.cgi?
- <SYSTEM32>\mshta.exe http://www.gr###eshark.com/
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\grooveshark[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\avm[1]
- <SYSTEM32>\2078.dll
- %ALLUSERSPROFILE%\Desktop\Streaming Music - MediaPass.lnk
- <SYSTEM32>\2078.vbs
Сетевая активность:
Подключается к:
- 'localhost':1039
- 'ta####oolbar.com':80
- 'localhost':1037
- 'www.gr###eshark.com':80
TCP:
Запросы HTTP GET:
- ta####oolbar.com/avm.cgi?co###################################################
- www.gr###eshark.com/
UDP:
- DNS ASK ta####oolbar.com
- DNS ASK www.gr###eshark.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
