Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\ph_1\ph_1\i000.exe
Запускает на исполнение:
- <SYSTEM32>\attrib.exe +h <DRIVERS>\etc\hosts /S
- <SYSTEM32>\cmd.exe /c ""%PROGRAM_FILES%\ph_1\ph_1\test4.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\ph_1\ph_1\test4.bat
- %HOMEPATH%\Recent\зр00о9о9.lnk
- %HOMEPATH%\Recent\ph_1.lnk
- %PROGRAM_FILES%\ph_1\ph_1\i000.exe
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
- %PROGRAM_FILES%\ph_1\ph_1\зр00о9о9.jpeg
Удаляет следующие файлы:
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- '17#.#5.153.44':80
TCP:
Запросы HTTP GET:
- 17#.#5.153.44/stat/index.php?p=#
Другое:
Ищет следующие окна:
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
