Техническая информация
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
- ClassName: 'RegmonClass', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut4172.tmp
- %ALLUSERSPROFILE%\ccleaner 5.82.8950.svc_8ipvq.exe
- %TEMP%\aut4367.tmp
- %ALLUSERSPROFILE%\ccleaner 5.82.8950_dba9m.exe
- %TEMP%\is-stv6g.tmp\ccleaner 5.82.8950_dba9m.tmp
- %TEMP%\is-trc6r.tmp\_isetup\_regdll.tmp
- %TEMP%\is-trc6r.tmp\_isetup\_setup64.tmp
- %TEMP%\is-trc6r.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-trc6r.tmp\istask.dll
- %TEMP%\is-trc6r.tmp\vclstylesinno.dll
- %TEMP%\is-trc6r.tmp\metroblue.vsf
- %TEMP%\is-trc6r.tmp\wizardform.bitmapimage1.bmp
Удаляет следующие файлы
- %TEMP%\aut4172.tmp
- %TEMP%\aut4367.tmp
Сетевая активность
Подключается к
- '34.##1.128.39':80
TCP
Запросы HTTP POST
- http://34.##1.128.39/
Другие
- 'te##te.in':443
UDP
- DNS ASK te##te.in
Другое
Ищет следующие окна
- ClassName: 'Edit' WindowName: ''
- ClassName: 'File Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
- ClassName: 'Process Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
- ClassName: 'Registry Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
- ClassName: '18467-41' WindowName: ''
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\ccleaner 5.82.8950.svc_8ipvq.exe'
- '%ALLUSERSPROFILE%\ccleaner 5.82.8950_dba9m.exe'
- '%TEMP%\is-stv6g.tmp\ccleaner 5.82.8950_dba9m.tmp' /SL5="$D0230,21572242,64512,%ALLUSERSPROFILE%\CCleaner 5.82.8950_DBa9m.exe"
