Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\services update.job
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\Documents and Settings\NetworkService\Application Data\winapp\a440cd27.exe'
- '%APPDATA%\winapp\a551de38.exe'
Запускает на исполнение:
- 'C:\Documents and Settings\NetworkService\Application Data\winapp\a440cd27.exe'
- '%APPDATA%\winapp\a551de38.exe'
Внедряет код в
следующие пользовательские процессы:
- a440cd27.exe
Изменения в файловой системе:
Создает следующие файлы:
- C:\Documents and Settings\NetworkService\Application Data\winapp\a440cd27.exe
- %WINDIR%\Temp\~DFEE01.tmp
- %WINDIR%\Temp\~DFED1D.tmp
- C:\Documents and Settings\NetworkService\Application Data\winapp\client_id
- %WINDIR%\Temp\~DF405.tmp
- %WINDIR%\Temp\~DF321.tmp
- %APPDATA%\winapp\a551de38.exe
- %TEMP%\~DF618E.tmp
- %TEMP%\~DF6057.tmp
- %APPDATA%\winapp\client_id
- %TEMP%\~DF7DF1.tmp
- %TEMP%\~DF7CDF.tmp
Удаляет следующие файлы:
- %WINDIR%\Temp\~DFED1D.tmp
- %WINDIR%\Temp\~DFEE01.tmp
- %WINDIR%\Temp\~DF321.tmp
- %WINDIR%\Temp\~DF405.tmp
- %TEMP%\~DF6057.tmp
- %TEMP%\~DF618E.tmp
- %TEMP%\~DF7CDF.tmp
- %TEMP%\~DF7DF1.tmp
Сетевая активность:
Подключается к:
- 'my####rnalip.com':80
TCP:
Запросы HTTP GET:
- http://my####rnalip.com/raw
UDP:
- DNS ASK my####rnalip.com
