Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\bit195e.tmp
- %WINDIR%\tasks\rvp.job
- <SYSTEM32>\tasks\rvp
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\7378428.exe'
Создает и загружает библиотеки (эксплоит)
- <Текущая директория>\banquo.dll
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\extrac32.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\extrac32.exe
- %WINDIR%\syswow64\extrac32.exe
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\banquo.dll
- %TEMP%\1100908.dat
- %TEMP%\7378428.exe
- %TEMP%\bit62be.tmp
- %TEMP%\68e7e247.png
- %APPDATA%\adobe\acrobat\bite70.tmp
- %TEMP%\59128942.lnk
- %APPDATA%\remcos\newlogs.dat
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\adobe\acrobat\bite70.tmp
- %APPDATA%\microsoft\windows\start menu\programs\startup\bit195e.tmp
Удаляет следующие файлы
- %TEMP%\bit62be.tmp
Перемещает следующие файлы
- %APPDATA%\adobe\acrobat\bite70.tmp в %APPDATA%\adobe\acrobat\rvp.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://oc##.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQwF4prw9S7mCbCEHD%2Fyl6nWPkczAQUe1tFz6%2FOy3r9MZIaarbzRutXSFACEEeXTXhzpbyrDS%2BzcBkvzl4%3D
UDP
- DNS ASK pa###bin.com
- DNS ASK i.##gur.com
- DNS ASK ne####k.jcgwood.com
- DNS ASK oc##.thawte.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\extrac32.exe'
- '%WINDIR%\syswow64\cmd.exe'
