Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\tmp4.exe'
- '<Полный путь к файлу>'
- '' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /t /f /im "<Имя файла>.exe"
- '<SYSTEM32>\cmd.exe' /c taskkill /t /f /im "<Имя файла>.exe" > NUL & ping -n 1 127.0.0.1 > NUL & del "<Полный путь к файлу>" > NUL
- '<SYSTEM32>\svchost.exe'
Внедряет код в
следующие системные процессы:
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\css.stylesheet.dir.xml
- %APPDATA%\Dummy.dic
- %APPDATA%\CMYK wm.ADO
- %APPDATA%\7.png
- %APPDATA%\getPhotoshopExecutableLocation.jsx
- %APPDATA%\completeTest.png
- %APPDATA%\app_updater_learn_more_body.png
- %APPDATA%\Anguilla
- %APPDATA%\Villeinage.W
- %APPDATA%\GIF 32 No Dither.irs
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\putty[1].exe
- %APPDATA%\Dialogs.dll
- %APPDATA%\cmd.png
- %APPDATA%\bt_selected.png
- %APPDATA%\404-1.htm
- %APPDATA%\ExampleFO2OldStylePrint.java
- %APPDATA%\api-doc.xml
- %APPDATA%\Cordoba
- %APPDATA%\Circle_SelectionSubpictureB.png
- %APPDATA%\chunker.output.media-type.xml
- %APPDATA%\SaporBalneology.nvs
- %TEMP%\nso2.tmp\System.dll
- %APPDATA%\cpu_stress.xml
- %APPDATA%\generate.manifest.xml
- %APPDATA%\403-5.htm
- %APPDATA%\F12.dll.mui
- %APPDATA%\directories.png
- %APPDATA%\fi.pak
- %APPDATA%\excluded.txt
- %APPDATA%\f16.png
- %APPDATA%\Eucla
- %APPDATA%\CET
Сетевая активность:
Подключается к:
- 'th#.#arth.li':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- http://th#.#arth.li/~sgtatham/putty/latest/x86/putty.exe
UDP:
- DNS ASK th#.#arth.li
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
