Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\update\google update
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "<Полный путь к файлу>" "<Имя файла>.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
- %TEMP%\chrome.exe
- %TEMP%\arrrrr.xml
- %TEMP%\peverify.exe
- %TEMP%\a33333.xml
Удаляет следующие файлы
- %TEMP%\arrrrr.xml
- %TEMP%\a33333.xml
Сетевая активность
Подключается к
- '5.###.112.48':1337
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
UDP
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '%TEMP%\peverify.exe' -woohoo 732 %TEMP%\chrome.exe
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Update\Google Update" /XML "%TEMP%\arrrrr.xml"' (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "<Полный путь к файлу>" "<Имя файла>.exe" ENABLE' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Update\Google Update" /XML "%TEMP%\a33333.xml"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Update\Google Update" /XML "%TEMP%\arrrrr.xml"
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Update\Google Update" /XML "%TEMP%\a33333.xml"
