Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\fx45.exe' /q /norestart
- '<SYSTEM32>\p\plugandplay__.exe' -install
- '%WINDIR%\fx45.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe' -UseCLSID {E3CFFB2C-DA4F-4576-A730-F83372B42309} -Comment "NGen Worker Process"
- '%WINDIR%\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe' -UseCLSID {86963B5B-5102-4C13-9A92-9860192E3464} -Comment "NGen Worker Process"
- '%ProgramFiles%\Internet Explorer\IEXPLORE.EXE' -nohome
- '%WINDIR%\Microsoft.NET\Framework\v4.0.30319\ngen.exe' update /force /queue
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\fx45.exe
- C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\fifo.log
- <SYSTEM32>\p\o.txt
- <SYSTEM32>\p\plugandplay__.exe
Удаляет следующие файлы:
- %WINDIR%\assembly\NativeImages_v4.0.30319_32\index1c.dat
- %WINDIR%\assembly\NativeImages_v4.0.30319_32\index1b.dat
- %WINDIR%\assembly\NativeImages_v2.0.50727_32\indexa5.dat
Сетевая активность:
Подключается к:
- 'oi##.#inypic.com':80
- '20#.#6.232.182':80
- 'localhost':1040
- 'wp#d':80
- 'an######llectiononline.com':80
TCP:
Запросы HTTP GET:
- http://oi##.#inypic.com/35ksrom.jpg
- http://download.microsoft.com/download/B/A/4/BA4A7E71-2906-4B2D-A0E1-80CF16844F5F/dotNetFx45_Full_setup.exe via 20#.#6.232.182
- http://11#.#11.111.1/wpad.dat via wp#d
- http://an######llectiononline.com/inst_n.php?p=############
UDP:
- DNS ASK oi##.#inypic.com
- DNS ASK download.microsoft.com
- DNS ASK wp#d
- DNS ASK an######llectiononline.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
