Техническая информация
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\7ZipSfx.000\Host.exe
- %TEMP%\7ZipSfx.000\Tracker.exe
- %TEMP%\7ZipSfx.000\Tracker.dll
- %TEMP%\7ZipSfx.000\1033\TrackerUI.dll
- %ProgramFiles%\vipmovie\app\vipmovie\setting\vip3.ini
- %ProgramFiles%\vipmovie\app\vipmovie\setting\vip1.ini
- %ProgramFiles%\vipmovie\app\vipmovie\setting\vip2.ini
Удаляет следующие файлы:
- %TEMP%\7ZipSfx.000\1033\TrackerUI.dll
Сетевая активность:
Подключается к:
- 'ip.##obao.com':80
- 'vi##dy.com':80
TCP:
Запросы HTTP GET:
- http://ip.##obao.com/service/getIpInfo.php?ip#####
- http://www.vi##dy.com/vz/u.htm?me################################################################################################################################################################...
- http://www.vi##dy.com/24.gif?v=##################################################################################################################################################################...
UDP:
- DNS ASK ip.##obao.com
- DNS ASK www.vi##dy.com
Другое:
Создает и запускает на исполнение:
- '%TEMP%\7ZipSfx.000\Host.exe'
- '%TEMP%\7ZipSfx.000\Tracker.exe' /d %TEMP%\7ZipSfx.000\\Tracker.dll /c <SYSTEM32>\cmd.exe
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\7ZipSfx.000\Tracker.exe" /d %TEMP%\7ZipSfx.000\\Tracker.dll /c <SYSTEM32>\cmd.exe
- '<SYSTEM32>\cmd.exe'
