Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v1.1.4322\csc.exe' /noconfig @"%TEMP%\tdo3dszw.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v1.1.4322\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4.tmp" "%TEMP%\CSC3.tmp"
- '%WINDIR%\Microsoft.NET\Framework\v1.1.4322\csc.exe' /noconfig @"%TEMP%\zz_hqri5.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v1.1.4322\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES2.tmp" "%TEMP%\CSC1.tmp"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\CSC3.tmp
- %TEMP%\tdo3dszw.out
- %TEMP%\tdo3dszw.cmdline
- %TEMP%\RES4.tmp
- <LS_APPDATA>\ApplicationHistory\<Имя вируса>.exe.39a980f1.ini
- <Текущая директория>\wdf<Служебное имя>.xml
- %TEMP%\tdo3dszw.dll
- %TEMP%\tdo3dszw.0.cs
- %TEMP%\zz_hqri5.out
- %TEMP%\zz_hqri5.cmdline
- %TEMP%\zz_hqri5.0.cs
- %TEMP%\CSC1.tmp
- <Текущая директория>\wdf<Служебное имя>.xsd
- %TEMP%\zz_hqri5.dll
- %TEMP%\RES2.tmp
Удаляет следующие файлы:
- %TEMP%\tdo3dszw.0.cs
- %TEMP%\tdo3dszw.dll
- %TEMP%\CSC3.tmp
- %TEMP%\tdo3dszw.cmdline
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\enterprisesec.config.cch.2912.123921
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\security.config.cch.2912.123875
- %TEMP%\tdo3dszw.out
- %TEMP%\zz_hqri5.out
- %TEMP%\CSC1.tmp
- %TEMP%\RES2.tmp
- %TEMP%\zz_hqri5.dll
- %TEMP%\RES4.tmp
- %TEMP%\zz_hqri5.cmdline
- %TEMP%\zz_hqri5.0.cs
Перемещает следующие системные файлы:
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\enterprisesec.config.cch в %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\enterprisesec.config.cch.2912.123921
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\security.config.cch в %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\security.config.cch.2912.123875
