Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\programfiles\cmdb.exe' /stext c:\programfiles\modb.mod
- 'C:\programfiles\cmda.exe' /stext c:\programfiles\moda.mod
- 'C:\programfiles\java.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c %TEMP%\EZC1.bat
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\Yahoo\Pager]
- [<HKCU>\Software\Microsoft\IdentityCRL]
- [<HKCU>\Software\Microsoft\MessengerService]
- [<HKCU>\Software\Google\Google Talk\Accounts]
- [<HKCU>\Software\Microsoft\MSNMessenger]
Изменения в файловой системе:
Создает следующие файлы:
- C:\programfiles\cmdb.exe
- C:\programfiles\moda.mod
- %TEMP%\EZC1.bat
- C:\programfiles\cmda.exe
- <LS_APPDATA>\idsys.txt
- C:\programfiles\java.exe.z7
- C:\programfiles\java.exe
Удаляет следующие файлы:
- C:\programfiles\cmdb.exe
- C:\programfiles\java.exe.z7
- C:\programfiles\cmda.exe
- C:\programfiles\java.exe
- C:\programfiles\moda.mod
Сетевая активность:
Подключается к:
- 'co###.#haieasydns.com':80
TCP:
Запросы HTTP POST:
- co###.#haieasydns.com/pjct4//sm/atuando2.php
UDP:
- DNS ASK co###.#haieasydns.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
