Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\qtu.exe'
- '<SYSTEM32>\nvidupr.exe' http://up####.myftp.org/qtu.exe qtu.exe
- '<SYSTEM32>\qtu.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' /s -h -r -s <SYSTEM32>\dllcache\*.*
- '<SYSTEM32>\attrib.exe' /s -h -r -s <SYSTEM32>\dllcache
- '<SYSTEM32>\cmd.exe' /c ""<SYSTEM32>\upsvcm.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\date.ini
- <SYSTEM32>\nvidupr.exe
- <SYSTEM32>\qtu.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\qtu[1].exe
- <SYSTEM32>\mshts.bat
- <SYSTEM32>\upsvcm.bat
- <SYSTEM32>\paws.dll
- <SYSTEM32>\up.ocx
Перемещает следующие файлы:
- <SYSTEM32>\paws.dll в <SYSTEM32>\dllcache\paws.dll
Сетевая активность:
Подключается к:
- 'up####.myftp.org':80
TCP:
Запросы HTTP GET:
- up####.myftp.org/qtu.exe
UDP:
- DNS ASK up####.myftp.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
