Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\XZMGE.exe' /stext "%APPDATA%\GFQBNQOUWD.txt"
- '%APPDATA%\YDIFUCLVFC.exe' /stext "%APPDATA%\HMMLOGDGW.txt"
- '%APPDATA%\ZTDYU.exe' /stext "%APPDATA%\EVVPIVHNUL.txt"
- '%APPDATA%\YDIFUCLVFC.exe' (загружен из сети Интернет)
- '%APPDATA%\ZTDYU.exe' (загружен из сети Интернет)
- '%APPDATA%\XZMGE.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\d[1].jpg
- %APPDATA%\YDIFUCLVFC.exe
- %APPDATA%\TCDFBNVRJ.txt
- %APPDATA%\XZMGE.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\s[1].jpg
- %APPDATA%\ZTDYU.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\m[1].jpg
Удаляет следующие файлы:
- %APPDATA%\YDIFUCLVFC.exe
- %APPDATA%\TCDFBNVRJ.txt
- %APPDATA%\ZTDYU.exe
- %APPDATA%\XZMGE.exe
Сетевая активность:
Подключается к:
- '67.##5.160.76':465
- 'ta####ylogger.com':80
TCP:
Запросы HTTP GET:
- ta####ylogger.com/TSG/d.jpg
- ta####ylogger.com/TSG/m.jpg
- ta####ylogger.com/TSG/s.jpg
UDP:
- DNS ASK sm##.#ail.yahoo.com
- DNS ASK ta####ylogger.com
