Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /IM iexplore.exe /F
- '<SYSTEM32>\taskkill.exe' /IM javaw.exe /F
- '<SYSTEM32>\taskkill.exe' /IM jqs.exe /F
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7464.tmp\t3-propios-x64-full (visible)2.bat
- %TEMP%\7464.tmp\ejecutablecrm9.bat
- %TEMP%\7464.tmp\deployment.properties
- %TEMP%\7464.tmp\t3 - crm9.lnk
- %TEMP%\7464.tmp\jre-7u40-windows-i586.exe
- %TEMP%\7464.tmp\favicon.ico
- %TEMP%\7464.tmp\subinacl.exe
- %TEMP%\7464.tmp\java64.reg
- %WINDIR%\temp\cab9a2e.tmp
- %WINDIR%\temp\tar9a2f.tmp
- %WINDIR%\temp\2ad50.mst
Удаляет следующие файлы
- %WINDIR%\temp\cab9a2e.tmp
- %WINDIR%\temp\tar9a2f.tmp
- %WINDIR%\temp\2ad50.mst
Сетевая активность
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
UDP
- DNS ASK microsoft.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\7464.tmp\T3-Propios-x64-Full (visible)2.bat" <Полный путь к файлу>"
- '<SYSTEM32>\wbem\wmic.exe' product where "name like 'J2SE Runtime Environment 5%'" call uninstall /nointeractive
