Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\SdiMul.Document\shell\open\command] '' = '%TEMP%\FVVXXX~1.EXE "%1"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\UpdateFlashPlayer_91f4e487.exe'
- '%TEMP%\UpdateFlashPlayer_8c3fe56a.exe'
- '%TEMP%\hiiiooo.exe'
- '%TEMP%\fvvxxxile.exe'
- '%TEMP%\heeen.exe'
- '%TEMP%\UpdateFlashPlayer_8c3fe56a.exe' (загружен из сети Интернет)
- '%TEMP%\UpdateFlashPlayer_91f4e487.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\tmp5f7f3e10.bat"
- '<SYSTEM32>\cmd.exe' /c del "<Полный путь к вирусу>" >> NUL
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\UpdateFlashPlayer_91f4e487.exe
- %TEMP%\UpdateFlashPlayer_8c3fe56a.exe
- %TEMP%\tmp5f7f3e10.bat
- %TEMP%\fvvxxxile.exe
- %TEMP%\heeen.exe
- %TEMP%\hiiiooo.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- '5.##.86.98':80
- 'go###hbmsd.com':80
- 're####-juler.com':80
- 'in###made.com':80
- 'qw###yport.com':80
TCP:
Запросы HTTP GET:
- http://5.##.86.98/load/206/?p=#########
- http://go###hbmsd.com/load/206/?p=#########
- http://re####-juler.com/libs8/ajax/
- http://in###made.com/b/shoe/456
- http://qw###yport.com/load/206/?p=#########
- http://re####-juler.com/libs8/jquery/
UDP:
- DNS ASK re####-juler.com
- DNS ASK go###hbmsd.com
- DNS ASK in###made.com
- DNS ASK qw###yport.com
