Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\9.tmp
- %TEMP%\4.tmp
- %TEMP%\7.tmp
- %TEMP%\8.tmp
- %TEMP%\6.tmp
- %TEMP%\5.tmp
- <Текущая директория>\rfuQjdkFYy.exe
- %TEMP%\1.tmp
- %TEMP%\2.tmp
- %TEMP%\3.tmp
- %TEMP%\A.tmp
- %TEMP%\9.tmp (загружен из сети Интернет)
- %TEMP%\A.tmp (загружен из сети Интернет)
- %TEMP%\8.tmp (загружен из сети Интернет)
- %TEMP%\7.tmp (загружен из сети Интернет)
- %TEMP%\3.tmp (загружен из сети Интернет)
- %TEMP%\2.tmp (загружен из сети Интернет)
- %TEMP%\1.tmp (загружен из сети Интернет)
- %TEMP%\6.tmp (загружен из сети Интернет)
- %TEMP%\5.tmp (загружен из сети Интернет)
- %TEMP%\4.tmp (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\cmd.exe /c flzvsstXSk.bat
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\7.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\load[4].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\load[4].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\load[4].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\load[3].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\load[3].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\load[3].php
- %TEMP%\6.tmp
- %TEMP%\8.tmp
- %TEMP%\A.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\load[5].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\load[6].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\load[5].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\load[5].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\load[4].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\load[5].php
- %TEMP%\9.tmp
- <Текущая директория>\&luck=1
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\load[1].php
- %TEMP%\2.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\load[1].php
- <Текущая директория>\rfuQjdkFYy.exe
- <Текущая директория>\flzvsstXSk.bat
- %TEMP%\1.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\load[1].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\load[1].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\load[2].php
- %TEMP%\4.tmp
- %TEMP%\5.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\load[3].php
- %TEMP%\3.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\load[2].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\load[2].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\load[2].php
Удаляет следующие файлы:
- <Текущая директория>\rfuQjdkFYy.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'da##ers.ru':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- da##ers.ru/load.php?fi###########
- da##ers.ru/load.php?fi####
UDP:
- DNS ASK da##ers.ru
