Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- C:\RMT_Help\AVO\AVO.exe (загружен из сети Интернет)
- C:\RMT_Help\CClean\ccleanerAI.exe (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\sc.exe config Alerter start= disabled
- <SYSTEM32>\sc.exe config ALG start= demand
- <SYSTEM32>\sc.exe query state= all
- <SYSTEM32>\sc.exe config Adobe LM Service start= demand
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\AVO[1].exe
- C:\RMT_Help\AVO\AVO.exe
- C:\RMT_Help\ServiceState.log
- C:\RMT_Help\CClean\ccleanerAI.exe
- %TEMP%\aut1.tmp
- C:\RMT_Help\Optimize.txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\ccleanerai[1].exe
Удаляет следующие файлы:
- %TEMP%\aut1.tmp
Сетевая активность:
Подключается к:
- 'ar###.ads-gdn.com':80
TCP:
Запросы HTTP GET:
- ar###.ads-gdn.com/arrowtools/removaltools/Optimize/AVO.exe
- ar###.ads-gdn.com/arrowtools/removaltools/Optimize/ccleanerai.exe
UDP:
- DNS ASK ar###.ads-gdn.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
