Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\{7FAE7CAD-42CD-2F75-2138-24203558283D}.job
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\Mozilla\Extensions\qoaeifo.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
- <SYSTEM32>\cscript.exe
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\ctfmon.exe
большое количество пользовательских процессов.
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\Microsoft\messengerservice]
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\reporta[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\reporta[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\reporta[1].htm
- %APPDATA%\Mozilla\Extensions\qoaeifo.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\reporta[1].htm
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\Tasks\{7FAE7CAD-42CD-2F75-2138-24203558283D}.job
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\reporta[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\reporta[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\reporta[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\reporta[1].htm
Сетевая активность:
Подключается к:
- 'sy#.###ktravestiler.org':80
- 'lo##.#rqadas.net':80
- 'vo##.#rkadasci.com':80
TCP:
Запросы HTTP POST:
- sy#.###ktravestiler.org/reporta.php
- lo##.#rqadas.net/reporta.php
- vo##.#rkadasci.com/reporta.php
UDP:
- DNS ASK sy#.###ktravestiler.org
- DNS ASK lo##.#rqadas.net
- DNS ASK vo##.#rkadasci.com
