Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' "C:\AnalogClock\ChaosEnginev.vbe"
Запускает на исполнение (эксплоит)
- '%WINDIR%\explorer.exe' c:\AnalogClock\ChaosEnginev.vbe
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1040
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\wermgr.exe
Изменения в файловой системе
Создает следующие файлы
- C:\analogclock\chaosenginev.vbe
- %TEMP%\1264294.cvr
- C:\analogclock\act96mc98sd.dll
Сетевая активность
Подключается к
- '10#.#6.10.87':449
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "C:\AnalogClock\ChaosEnginev.vbe"' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' /Automation -Embedding
- '<SYSTEM32>\rundll32.exe' c:\AnalogClock\ACT96MC98SD.dll,DllRegisterServer
- '<SYSTEM32>\wermgr.exe'
