Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c %TEMP%\<Имя вируса>.bat
- '<SYSTEM32>\schtasks.exe' /run /TN 050100201514
- '<SYSTEM32>\schtasks.exe' /create /sc MINUTE /MO 3 /TN "050100201514" /TR "<SYSTEM32>\rundll32.exe %WINDIR%\SoftwareDistribution\SelfUpdate\09330213.dll MainProc
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\%r%\UTLGPT&09330213.dll
- %TEMP%\%r%\GEXG&extension
- %TEMP%\<Имя вируса>.bat
- %TEMP%\singt
- %TEMP%\<Имя вируса>.exe
- %TEMP%\atcp.db
- %TEMP%\_00.tmp
- %TEMP%\_.tmp
Перемещает следующие файлы:
- %TEMP%\%r%\UTLGPT&09330213.dll в %TEMP%\%r%\09330213.dll
- %TEMP%\%r%\09330213.dll в %WINDIR%\SoftwareDistribution\SelfUpdate\09330213.dll
- %TEMP%\%r%\GEXG&extension в %TEMP%\%r%\extension
- %TEMP%\%r%\extension в %WINDIR%\SoftwareDistribution\SelfUpdate\extension
Самоудаляется.
Сетевая активность:
Подключается к:
- 'im####er2873.net':80
TCP:
Запросы HTTP GET:
- im####er2873.net/tec/clientes.php?ti########################################################################################################################################
UDP:
- DNS ASK im####er2873.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
