Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %WINDIR%\tasks\reg.job
- <SYSTEM32>\tasks\reg
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\5217887.exe'
Создает и загружает библиотеки (эксплоит)
- %TEMP%\caress.dll
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\notepad.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\notepad.exe
- %WINDIR%\syswow64\ipconfig.exe
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\caress.dll
- %TEMP%\1099887.dat
- %TEMP%\5217887.exe
- %TEMP%\bit9359.tmp
- %TEMP%\bb5eb3e1.png
- %APPDATA%\icq-profile\update\splash_banner\bit2175.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\icq-profile\update\splash_banner\bit2175.tmp
Удаляет следующие файлы
- %TEMP%\bit9359.tmp
Перемещает следующие файлы
- %APPDATA%\icq-profile\update\splash_banner\bit2175.tmp в %APPDATA%\icq-profile\update\splash_banner\reg.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://oc##.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQwF4prw9S7mCbCEHD%2Fyl6nWPkczAQUe1tFz6%2FOy3r9MZIaarbzRutXSFACEEeXTXhzpbyrDS%2BzcBkvzl4%3D
UDP
- DNS ASK pa###bin.com
- DNS ASK i.##gur.com
- DNS ASK mi###ikemic.com
- DNS ASK oc##.thawte.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\ipconfig.exe'
- '%WINDIR%\syswow64\cmd.exe'
