Техническая информация
Вредоносные функции:
Запускает на исполнение:
- %WINDIR%\regedit.exe /s "%HOMEPATH%\My Documents\Iterra\T03emp03.reg"
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\gokbkvh.dll
- %HOMEPATH%\Cookies\cf
- %HOMEPATH%\My Documents\Iterra\0105.tmp
- %HOMEPATH%\My Documents\Iterra\T03emp03.reg
Удаляет следующие файлы:
- %HOMEPATH%\My Documents\Iterra\T03emp03.reg
- %HOMEPATH%\My Documents\Iterra\0105.tmp
Сетевая активность:
Подключается к:
- 'ge###tsu.com':80
- 'tr###gets.com':80
- 'os##pbo.com':80
TCP:
Запросы HTTP GET:
- ge###tsu.com/phpbb/get.php?id#########################################################################################################################################################################################
- tr###gets.com/phpbb/get.php?id#########################################################################################################################################################################################
- os##pbo.com/phpbb/get.php?id#########################################################################################################################################################################################
UDP:
- DNS ASK in###ora.com
- DNS ASK ne###vad.com
- DNS ASK in###ango.com
- DNS ASK te###ode.com
- DNS ASK te##ans.su
- DNS ASK od###are.com
- DNS ASK ge###tsu.com
- DNS ASK tr###gets.com
- DNS ASK os##pbo.com
- DNS ASK fe###eck.com
- DNS ASK tr###dns.com
- DNS ASK ge###odes.com
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
