Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES2.tmp" "%TEMP%\CSC1.tmp"
- '%WINDIR%\Microsoft.NET\Framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\1tpxye40.cmdline"
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: '(null)' WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS' WindowName: '(null)'
- ClassName: '(null)' WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'RegmonClass' WindowName: '(null)'
- ClassName: '(null)' WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'GBDYLLO' WindowName: '(null)'
- ClassName: 'OLLYDBG' WindowName: '(null)'
- ClassName: 'FilemonClass' WindowName: '(null)'
- ClassName: 'pediy06' WindowName: '(null)'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\1tpxye40.out
- %TEMP%\1tpxye40.cmdline
- %TEMP%\CSC1.tmp
- %TEMP%\1tpxye40.dll
- %TEMP%\RES2.tmp
- <SYSTEM32>\d3d9caps.tmp
- <SYSTEM32>\d3d9caps.dat
- <Текущая директория>\Startup.txt
- %TEMP%\1tpxye40.0.cs
- <Текущая директория>\WebUpdate.xml
Удаляет следующие файлы:
- %TEMP%\1tpxye40.out
- %TEMP%\1tpxye40.dll
- %TEMP%\1tpxye40.cmdline
- %TEMP%\1tpxye40.0.cs
- <SYSTEM32>\d3d9caps.dat
- %TEMP%\RES2.tmp
- %TEMP%\CSC1.tmp
Перемещает следующие файлы:
- <SYSTEM32>\d3d9caps.tmp в <SYSTEM32>\d3d9caps.dat
Сетевая активность:
Подключается к:
- 'ne#.##nquerai.com':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- ne#.##nquerai.com/Assemblies/?ty#######
- wp#d/wpad.dat
UDP:
- DNS ASK ne#.##nquerai.com
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'SysListView32' WindowName: '(null)'
- ClassName: '18467-41' WindowName: '(null)'
