Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%HOMEPATH%\Desktop\everything.exe'
Запускает на исполнение:
- '<SYSTEM32>\schtasks.exe' /Create /TN "Update\LetsControl" /XML "%TEMP%\1341634455.xml"
- '<SYSTEM32>\svchost.exe'
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\schtasks.exe' /Delete /TN "Update\LetsControl" /F
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\spoolsv.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmp17.tmp
- %TEMP%\tmp16.tmp
- %TEMP%\tmp18.tmp
- %TEMP%\tmp1A.tmp
- %TEMP%\tmp19.tmp
- %TEMP%\tmp12.tmp
- %TEMP%\tmp11.tmp
- %TEMP%\tmp13.tmp
- %TEMP%\tmp15.tmp
- %TEMP%\tmp14.tmp
- %TEMP%\tmp1B.tmp
- %TEMP%\tmp22.tmp
- %TEMP%\tmp21.tmp
- %TEMP%\tmp23.tmp
- %TEMP%\tmp25.tmp
- %TEMP%\tmp24.tmp
- %TEMP%\tmp1D.tmp
- %TEMP%\tmp1C.tmp
- %TEMP%\tmp1E.tmp
- %TEMP%\tmp20.tmp
- %TEMP%\tmp1F.tmp
- %TEMP%\tmp2.tmp
- %TEMP%\tmp1.tmp
- %TEMP%\tmp3.tmp
- %TEMP%\tmp5.tmp
- %TEMP%\tmp4.tmp
- %TEMP%\LetsControl.txt
- %HOMEPATH%\Desktop\everything.exe
- %TEMP%\1341634455.xml
- %APPDATA%\data.bin
- %TEMP%\155015300.xml
- %TEMP%\tmp6.tmp
- %TEMP%\tmpD.tmp
- %TEMP%\tmpC.tmp
- %TEMP%\tmpE.tmp
- %TEMP%\tmp10.tmp
- %TEMP%\tmpF.tmp
- %TEMP%\tmp8.tmp
- %TEMP%\tmp7.tmp
- %TEMP%\tmp9.tmp
- %TEMP%\tmpB.tmp
- %TEMP%\tmpA.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\Desktop\everything.exe
Удаляет следующие файлы:
- %TEMP%\1341634455.xml
Сетевая активность:
Подключается к:
- 'po###.xaxaxa.eu':28000
UDP:
- DNS ASK po###.xaxaxa.eu
