Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%ALLUSERSPROFILE%\sWiths.exe'
- '%ALLUSERSPROFILE%\sWiths.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '%ProgramFiles%\Internet Explorer\IEXPLORE.EXE' http://in#####cliente.com.br/contador/SaveInfect.php?us########################################
- '<SYSTEM32>\wscript.exe' "<Текущая директория>\down.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Marcador.txt
- %ALLUSERSPROFILE%\sWiths.exe
- <Текущая директория>\down.vbs
Удаляет следующие файлы:
- <Текущая директория>\down.vbs
Сетевая активность:
Подключается к:
- 'in#####cliente.com.br':80
- 'localhost':1041
- 'www.gg###ba.com.br':80
TCP:
Запросы HTTP GET:
- http://in#####cliente.com.br/contador/SaveInfect.php?us########################################
- http://www.gg###ba.com.br/tinin/msn.jpg
UDP:
- DNS ASK in#####cliente.com.br
- DNS ASK www.gg###ba.com.br
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
