Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%HOMEPATH%\Desktop\filename.exe' /r
- '%TEMP%\qqqqqqq.exe'
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %TEMP%\gg.jpg
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %TEMP%\nn.jpg
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %TEMP%\vc.jpg
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %TEMP%\r.jpg
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %TEMP%\g.jpg
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %TEMP%\a.jpg
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %TEMP%\o.jpg
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
- chrome.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\gg.jpg
- %TEMP%\r.jpg
- %TEMP%\nn.jpg
- <LS_APPDATA>\fg
- %TEMP%\vc.jpg
- %TEMP%\g.jpg
- %TEMP%\qqqqqqq.exe
- %TEMP%\a.jpg
- %HOMEPATH%\Desktop\filename.exe
- %TEMP%\o.jpg
Сетевая активность:
Подключается к:
- 'localhost':81
Другое:
Ищет следующие окна:
- ClassName: 'DnaGrabber1.0' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: '(null)'
