Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\3w79y.exe'
- '%TEMP%\3w79y.exe' (загружен из сети Интернет)
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG' WindowName: '(null)'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\3w79y.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\update1.thebestjusecurity[1].exe&ttl=42a6c0a5d15
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\65.98.83[1]
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\update1.thebestjusecurity[1].exe&ttl=42a6c0a5d15
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\65.98.83[1]
Самоудаляется.
Сетевая активность:
Подключается к:
- 'up#####.#hebestjusecurity.in':80
- '46.##5.131.124':80
- 'localhost':1040
- '21#.#3.15.126':80
- '65.##.83.115':80
TCP:
Запросы HTTP GET:
- up#####.#hebestjusecurity.in/?ab###################################################################################
- 65.##.83.115/?qq#######################################################################################################################
UDP:
- DNS ASK up#####.#hebestjusecurity.in
