Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\{2UTSUFW9-B0UU-AG3R-4NO6-8OJI5G587XEO}\a3x70ij3.exe'
- '<LS_APPDATA>\{2UTSUFW9-B0UU-AG3R-4NO6-8OJI5G587XEO}\xei6v476yg1nn.exe'
- '<LS_APPDATA>\Temp\Libzips.exe'
- '<LS_APPDATA>\{2UTSUFW9-B0UU-AG3R-4NO6-8OJI5G587XEO}\a3x70ij3.exe' (загружен из сети Интернет)
- '<LS_APPDATA>\{2UTSUFW9-B0UU-AG3R-4NO6-8OJI5G587XEO}\xei6v476yg1nn.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\ipconfig.exe' /renew
- '<SYSTEM32>\ipconfig.exe' /flushdns
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\newhost[1].mid
- <LS_APPDATA>\{2UTSUFW9-B0UU-AG3R-4NO6-8OJI5G587XEO}\a3x70ij3.exe
- <LS_APPDATA>\{2UTSUFW9-B0UU-AG3R-4NO6-8OJI5G587XEO}\xei6v476yg1nn.exe
- <LS_APPDATA>\Temp\Libzips.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\hostnew[1].mid
Сетевая активность:
Подключается к:
- 'se######eubebo.noads.biz':80
- 'www.we#########gyn.clientewebhost.com.br':80
- 'www.go###e.com.br':80
TCP:
Запросы HTTP GET:
- www.we#########gyn.clientewebhost.com.br/newhost.mid
- se######eubebo.noads.biz/membros.php
- www.we#########gyn.clientewebhost.com.br/hostnew.mid
UDP:
- DNS ASK se######eubebo.noads.biz
- DNS ASK www.we#########gyn.clientewebhost.com.br
- DNS ASK www.go###e.com.br
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
