Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\svchost.exe
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\svchost.exe'
- '%TEMP%\uTorrent.exe'
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES2.tmp" "%TEMP%\vbc1.tmp"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' /noconfig @"%TEMP%\cjhebp8l.cmdline"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\cjhebp8l.0.vb
- %TEMP%\cjhebp8l.cmdline
- %TEMP%\473RxAz.resources
- %TEMP%\MSNPSharp.dll
- %TEMP%\RES2.tmp
- %TEMP%\cjhebp8l.exe
- %TEMP%\cjhebp8l.out
- %TEMP%\vbc1.tmp
- %TEMP%\svchost.exe
- %TEMP%\l.resources
- %TEMP%\uTorrent.exe
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\ec702f375e1b12d218f67ab9ef19ca23_23ef5514-3059-436f-a4a7-4cefaab20eb1
- %APPDATA%\uTorrent\settings.dat.new
- %APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\60053440-0e2f-4184-97f0-5804234fa1d3
- %APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\Preferred
Удаляет следующие файлы:
- %TEMP%\cjhebp8l.exe
- %TEMP%\cjhebp8l.0.vb
- %TEMP%\cjhebp8l.out
- %TEMP%\RES2.tmp
- %TEMP%\vbc1.tmp
- %TEMP%\cjhebp8l.cmdline
Перемещает следующие файлы:
- %APPDATA%\uTorrent\settings.dat.new в %APPDATA%\uTorrent\settings.dat
Сетевая активность:
Подключается к:
- '17#.#3.169.14':80
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: '?Torrent4823DF041B09' WindowName: '(null)'
