Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\EGLHTX.exe'
- '%TEMP%\2f718.tmp\2f7539323.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\pubwinep[1].zip
- %PROGRAM_FILES%\LTj43a1\log.dat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\pubwinep[1].ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\pubwinep[1].zip
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\pubwinep[1].zip
- %PROGRAM_FILES%\LTj43a1\Run.zip
- <SYSTEM32>\HintSock.dat
- <SYSTEM32>\HintSok.dll
- <SYSTEM32>\HintSock.dll
- %TEMP%\EGLHTX.exe
- %TEMP%\2f718.tmp\2f7539323.exe
- <SYSTEM32>\version
Присваивает атрибут 'скрытый' для следующих файлов:
- %PROGRAM_FILES%\LTj43a1\Run.zip
- %PROGRAM_FILES%\LTj43a1\log.dat
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\pubwinep[1].zip
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\pubwinep[1].zip
- %PROGRAM_FILES%\LTj43a1\Run.zip
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\pubwinep[1].zip
Сетевая активность:
Подключается к:
- 'in#.#88b.com':80
- 'in#.#gkj.com':80
- '60.##0.154.142':9999
- '12#.#26.129.188':8888
- '61.##3.235.58':1023
TCP:
Запросы HTTP GET:
- in#.#gkj.com/soft/58wangwei/pubwinep.zip
- in#.#88b.com/soft/58wangwei/pubwinep.zip
- in#.#88b.com/58wangwei/pubwinep.ini
UDP:
- DNS ASK in#.#gkj.com
- DNS ASK in#.#88b.com
