Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\ct3288910\ism.exe -ctid=CT3288910
- %TEMP%\nso4.tmp\ns5.tmp "%TEMP%\ct3288910\ism.exe" -ctid=CT3288910
- %PROGRAM_FILES%\Zen Deals\mism.exe -ctid=CT3288910
- %TEMP%\ct3288910\ism.exe (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ism[1].exe
- C:\END
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\usage[1].htm
- %TEMP%\nso4.tmp\ns5.tmp
- %TEMP%\nso4.tmp\nsExec.dll
- %TEMP%\ct3288910\ism.exe
- %PROGRAM_FILES%\Zen Deals\mism.exe
- %TEMP%\nse2.tmp\nsDialogs.dll
- %TEMP%\nse2.tmp\modern-header.bmp
- %TEMP%\nso4.tmp\InetC.dll
- %TEMP%\nso4.tmp\System.dll
- %TEMP%\nse2.tmp\ExecCmd.dll
Удаляет следующие файлы:
- %TEMP%\nso4.tmp\System.dll
- %PROGRAM_FILES%\Zen Deals\mism.exe
- %TEMP%\nso4.tmp\nsExec.dll
- %TEMP%\nso4.tmp\ns5.tmp
- %TEMP%\nso4.tmp\InetC.dll
Сетевая активность:
Подключается к:
- 'st####e.conduit.com':80
- 'is######e.conduit-data.com':80
TCP:
Запросы HTTP GET:
- st####e.conduit.com/ps/conduitinstaller/ism.exe
Запросы HTTP POST:
- is######e.conduit-data.com/usage.ashx
UDP:
- DNS ASK st####e.conduit.com
- DNS ASK is######e.conduit-data.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
