Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\wscript.exe /nologo ""%TEMP%\_tin4440.vbs""
- <SYSTEM32>\wscript.exe /nologo ""%TEMP%\_tin4D75.vbs""
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\InstallMate\{DBB02F63-2284-42AA-B1BC-F2912BC5B32B}\Setup.exe
- %ALLUSERSPROFILE%\Application Data\InstallMate\{DBB02F63-2284-42AA-B1BC-F2912BC5B32B}\TsuDll.dll
- %ALLUSERSPROFILE%\Application Data\InstallMate\{DBB02F63-2284-42AA-B1BC-F2912BC5B32B}\_Setupx.dll
- %ALLUSERSPROFILE%\Application Data\InstallMate\{DBB02F63-2284-42AA-B1BC-F2912BC5B32B}\_Setup.dll
- %ALLUSERSPROFILE%\Application Data\InstallMate\{DBB02F63-2284-42AA-B1BC-F2912BC5B32B}\Setup.ico
- %TEMP%\_tin4440.vbs
- %TEMP%\_tinD74F.vbs
- %TEMP%\_tin4D75.vbs
- %TEMP%\5CC96139\x86\regsvr32.exe
- %TEMP%\5CC96139\x64\regsvr32.exe
- %TEMP%\5CC96139\_Setup.dll
- %TEMP%\5CC96139\Setup.ico
- %TEMP%\5CC96139.dat
- %TEMP%\Tsu-0AFC.dll
- %TEMP%\<Имя вируса>.log
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\get_configuration[1].php
- %ALLUSERSPROFILE%\Application Data\InstallMate\5CC96139\cfg\1.ini.tmp
- %TEMP%\_tinDCC1.bat
- %TEMP%\5CC96139\_Setupx.dll
- %TEMP%\5CC96139\Setup.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\5CC96139\Setup.ico
- %TEMP%\5CC96139\_Setupx.dll
- %TEMP%\5CC96139\Setup.exe
- %TEMP%\Tsu-0AFC.dll
- %TEMP%\5CC96139.dat
- %TEMP%\5CC96139\_Setup.dll
Удаляет следующие файлы:
- %TEMP%\_tin4D75.vbs
- %TEMP%\_tin4440.vbs
- %TEMP%\5CC96139.dat
- %TEMP%\_tinDCC1.bat
Сетевая активность:
Подключается к:
- 'www.pr####msoft.info':80
TCP:
Запросы HTTP GET:
- www.pr####msoft.info/dynamic/get_configuration.php?in##################################
UDP:
- DNS ASK www.pr####msoft.info
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
