Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\اPS3Lib.dll
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\9927789e-cc56-42c3-af65-5dedb56670c91.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '%TEMP%\9927789e-cc56-42c3-af65-5dedb56670c91.exe'
- '%TEMP%\A7M3D8.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\A7M3D8.exe
- %TEMP%\9927789e-cc56-42c3-af65-5dedb56670c91.exe
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
- %TEMP%\PS3Lib.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\9927789e-cc56-42c3-af65-5dedb56670c91.exe
Удаляет следующие файлы:
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
Сетевая активность:
Подключается к:
- 'wa#####.gravityheberge.com':80
- 'bo#####e.pattiserie.eu':443
TCP:
Запросы HTTP GET:
- http://wa#####.gravityheberge.com/megosa/system/Windows.exe
UDP:
- DNS ASK wa#####.gravityheberge.com
- DNS ASK bo#####e.pattiserie.eu
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
