Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup0' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 "%TEMP%\IXP000.TMP\"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\is-7VPJO.tmp\srvsc.tmp' /SL5="$100E6,362919,56832,%APPDATA%\srvsc.exe" /VERYSILENT
- '%APPDATA%\flashpluginapp_install.exe'
- '%APPDATA%\WB_NI_23_b.exe'
- '%APPDATA%\srvsc.exe' /VERYSILENT
Запускает на исполнение:
- '<SYSTEM32>\msiexec.exe' -Embedding 91AD2E89C249523186C1DDE9C0CDC127
- '<SYSTEM32>\msiexec.exe' /V
- '<SYSTEM32>\msiexec.exe' /i WB_NI_23.msi /qn C=139
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Installer\MSI1.tmp
- %WINDIR%\Installer\3157d.msi
- %APPDATA%\flashpluginapp_install.exe
- %TEMP%\Adobe_ADMLogs\Adobe_ADM.log
- %WINDIR%\Installer\MSI2.tmp
- %TEMP%\is-5D5S9.tmp\_isetup\_shfoldr.dll
- %APPDATA%\WB_NI_23_b.exe
- %TEMP%\74661cea-dcca-4c99-be33-24fa4440a3c9\AgileDotNetRT.dll
- %APPDATA%\srvsc.exe
- %TEMP%\is-7VPJO.tmp\srvsc.tmp
- %TEMP%\IXP000.TMP\WB_NI_23.msi
Удаляет следующие файлы:
- %WINDIR%\Installer\MSI1.tmp
- %APPDATA%\WB_NI_23_b.exe
- %APPDATA%\srvsc.exe
Сетевая активность:
Подключается к:
- 'of##px.net':443
- 'al###.pxpserve.net':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- http://al###.pxpserve.net/api/api.php?s=#########################################################################################################################################################...
- http://al###.pxpserve.net/api/api.php?s=####################
- http://11#.#11.111.1/wpad.dat via wp#d
UDP:
- DNS ASK of##px.net
- DNS ASK www.my###search.com
- DNS ASK wp#d
- DNS ASK al###.pxpserve.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
