Техническая информация
Вредоносные функции:
Запускает на исполнение:
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://ju###.#5638.com:27889/report3.ashx?m=#################################################################################
- <SYSTEM32>\expand.exe ""%TEMP%\desktop_url.cab"" -F:*.* "%HOMEPATH%\Desktop"
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://www.38##2.com/bhy.html?po###
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://tc.##816.com/
- <SYSTEM32>\cmd.exe /c """%TEMP%\tmp_ext_favurl_cab.bat"" "
- <SYSTEM32>\cmd.exe /c """%TEMP%\run_dws_file.bat"" "
- <SYSTEM32>\expand.exe ""%TEMP%\favorites_url.cab"" -F:*.* "%HOMEPATH%\Favorites"
- <SYSTEM32>\cmd.exe /c """%TEMP%\tmp_ext_deskurl_cab.bat"" "
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Favorites\ГАЕ®АЦФ°.url
- %HOMEPATH%\Favorites\°Щ№ИµзУ°.url
- %HOMEPATH%\Favorites\°ЛШФЙ«Нј.url
- %HOMEPATH%\Favorites\ґґТµН¶ЧКєГПоДї.url
- %HOMEPATH%\Favorites\їґїґµзУ°.url
- %HOMEPATH%\Desktop\МФ±¦№єОп.url
- %HOMEPATH%\Desktop\Internet Explorer.url
- %HOMEPATH%\Desktop\°ЛШФЙ«Нј.url
- %HOMEPATH%\Desktop\ГАЕ®АЦФ°.url
- %TEMP%\ins1.tmp
- %TEMP%\run_dws_file.bat
- %TEMP%\linkp_gverych.tmp
- %PROGRAM_FILES%\Lenovo\inchar32.dat
- %TEMP%\desktop_url.cab
- %TEMP%\tmp_ext_deskurl_cab.bat
- %APPDATA%\ffmmnn.skin.ini
- %TEMP%\favorites_url.cab
- %TEMP%\tmp_ext_favurl_cab.bat
Самоудаляется.
Сетевая активность:
Подключается к:
- 'localhost':1038
- 'localhost':1040
- 'localhost':1037
- 'www.xu###i100.com':80
TCP:
Запросы HTTP GET:
- www.xu###i100.com/msn/software/partner/w/bibibei.exe
UDP:
- DNS ASK www.xu###i100.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
