Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\svchost.exe
- %HOMEPATH%\Start Menu\Programs\Startup\svchost.vbs
- %HOMEPATH%\Start Menu\Programs\Startup\svchost.js
- %HOMEPATH%\Start Menu\Programs\Startup\svchost.lnk
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\TempDev.exe
- %HOMEPATH%\Local Settings\Tempskype.exe
- %WINDIR%\Temp\scs1.tmp
- %WINDIR%\Temp\scs2.tmp
- %TEMP%\Server.exe
- %HOMEPATH%\Templates\svchost.exe
- %TEMP%\claqobx9.0.vb
- %TEMP%\claqobx9.cmdline
- %TEMP%\claqobx9.out
- %TEMP%\vbc3.tmp
- %TEMP%\RES4.tmp
Удаляет следующие файлы:
- %WINDIR%\Temp\scs1.tmp
- %WINDIR%\Temp\scs2.tmp
- %HOMEPATH%\Start Menu\Programs\Startup\svchost.exe
- %TEMP%\RES4.tmp
- %TEMP%\vbc3.tmp
Сетевая активность:
Подключается к:
- 'a2####.zapto.org':2525
UDP:
- DNS ASK a2####.zapto.org
Другое:
Ищет следующие окна:
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-b54.b58.380001'
Создает и запускает на исполнение:
- '%HOMEPATH%\Local Settings\TempDev.exe'
- '%TEMP%\Server.exe'
- '%HOMEPATH%\Templates\svchost.exe'
Запускает на исполнение:
- '<SYSTEM32>\ntvdm.exe' -f -i1
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' /noconfig @"%TEMP%\claqobx9.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4.tmp" "%TEMP%\vbc3.tmp"
