Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %HOMEPATH%\AppData\LocalFiles\javacheck.exe
- %HOMEPATH%\AppData\LocalFiles\spoolfsvs.exe
- %HOMEPATH%\AppData\LocalFiles\KernelBases.exe
- %HOMEPATH%\AppData\LocalFiles\boot.exe
- %HOMEPATH%\AppData\LocalFiles\svchosts.exe
- %HOMEPATH%\AppData\LocalFiles\spoolfsvs.exe (загружен из сети Интернет)
- %HOMEPATH%\AppData\LocalFiles\KernelBases.exe (загружен из сети Интернет)
- %HOMEPATH%\AppData\LocalFiles\svchosts.exe (загружен из сети Интернет)
- %HOMEPATH%\AppData\LocalFiles\javacheck.exe (загружен из сети Интернет)
- %HOMEPATH%\AppData\LocalFiles\boot.exe (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\netsh.exe firewall add allowedprogramT%HOMEPATH%\AppData\LocalFiles\\spoolfsvs.exe ENABLE
- <SYSTEM32>\netsh.exe firewall add allowedprogramT%HOMEPATH%\AppData\LocalFiles\\javacheck.exe ENABLE
- <SYSTEM32>\cmd.exe /c <Текущая директория>\<Имя вируса>.bat
- <SYSTEM32>\netsh.exe firewall add allowedprogramT%HOMEPATH%\AppData\LocalFiles\\KernelBases.exe ENABLE
- <SYSTEM32>\netsh.exe firewall add allowedprogramT<SYSTEM32>\ieHelpers.dll ENABLE
- <SYSTEM32>\netsh.exe firewall add allowedprogramT%HOMEPATH%\AppData\LocalFiles\\boot.exe ENABLE
- <SYSTEM32>\netsh.exe firewall add allowedprogramT%HOMEPATH%\AppData\LocalFiles\\svchosts.exe ENABLE
- <SYSTEM32>\regsvr32.exe /s <SYSTEM32>\ieHelpers.dll
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ProUpdate[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\LoadQuebraAV[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\OperationKL[1].jpg
- <Текущая директория>\<Имя вируса>.bat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\Defencer2011[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\FakeMSN[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\explore[1]
- %TEMP%\config.log
- <SYSTEM32>\index.html
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\gbipkm[1].jpg
- %HOMEPATH%\AppData\LocalFiles\index.html
Удаляет следующие файлы:
- %TEMP%\config.log
Сетевая активность:
Подключается к:
- 'www.dd##.com.br':80
- '74.##5.232.51':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- www.dd##.com.br/LoadQuebraAV.jpg
- www.dd##.com.br/ProUpdate.jpg
- www.dd##.com.br/Defencer2011.jpg
- www.dd##.com.br/OperationKL.jpg
- 74.##5.232.51/lh/explore
- www.dd##.com.br/FakeMSN.jpg
- www.dd##.com.br/gbipkm.jpg
UDP:
- DNS ASK www.dd##.com.br
- DNS ASK pi#####eb.google.com
- '<IP-адрес в локальной сети>':1037
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
