Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\ac.exe'
- '<SYSTEM32>\ad.exe'
- '<SYSTEM32>\ab.exe'
- '<SYSTEM32>\ad.exe' (загружен из сети Интернет)
- '<SYSTEM32>\ab.exe' (загружен из сети Интернет)
- '<SYSTEM32>\ac.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' /s ac.dll
- '<SYSTEM32>\regsvr32.exe' /s ad.dll
- '<SYSTEM32>\regsvr32.exe' /s GetDiskSerial.dll
- '<SYSTEM32>\regsvr32.exe' /s ab.dll
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\ab.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ok2[1].gif
- <SYSTEM32>\ad.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\msdos[1].gif
- <SYSTEM32>\ad.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\bbgf[1].gif
- <SYSTEM32>\ac.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\ok[1].gif
- <SYSTEM32>\GetDiskSerial.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\GetDiskSerial[1].gif
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\sms[1].gif
- <SYSTEM32>\ac.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\smss[1].gif
- <SYSTEM32>\ab.dll
Сетевая активность:
Подключается к:
- 'pl######s.sites.uol.com.br':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- pl######s.sites.uol.com.br/novobho/ok2.gif
- pl######s.sites.uol.com.br/novobho/msdos.gif
- pl######s.sites.uol.com.br/novobho/bbgf.gif
- pl######s.sites.uol.com.br/novobho/ok.gif
- pl######s.sites.uol.com.br/novobho/GetDiskSerial.gif
- pl######s.sites.uol.com.br/novobho/sms.gif
- pl######s.sites.uol.com.br/novobho/smss.gif
UDP:
- DNS ASK pl######s.sites.uol.com.br
