Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup0' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 "%TEMP%\IXP000.TMP\"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\cleanuputility.exe'
Запускает на исполнение:
- '<SYSTEM32>\msiexec.exe' /V
- '<SYSTEM32>\msiexec.exe' /i "%PROGRAM_FILES%\MSECACHE\WICU3\msicuu.msi"
- '<SYSTEM32>\wscript.exe' StartMsi.vbs
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\MSECACHE\WICU3\msicuu.exe
- %PROGRAM_FILES%\MSECACHE\WICU3\msicuu.msi
- %TEMP%\IXP000.TMP\MsiZapA.exe
- %TEMP%\IXP000.TMP\StartMsi.vbs
- %PROGRAM_FILES%\MSECACHE\WICU3\readme.txt
- %TEMP%\26f89.msi
- %PROGRAM_FILES%\MSECACHE\WICU3\MsiZapA.exe
- %PROGRAM_FILES%\MSECACHE\WICU3\MsiZapU.exe
- %TEMP%\IXP000.TMP\readme.txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\5[1].xml
- %TEMP%\nsg2.tmp\xconfigx.ini
- %TEMP%\nsg2.tmp\System.dll
- %TEMP%\nsg2.tmp\inetc.dll
- %TEMP%\IXP000.TMP\msicuu.msi
- %TEMP%\IXP000.TMP\MsiZapU.exe
- %TEMP%\cleanuputility.exe
- %TEMP%\IXP000.TMP\msicuu.exe
Удаляет следующие файлы:
- %TEMP%\nsg2.tmp\xconfigx.ini
- %TEMP%\nsg2.tmp\System.dll
- %TEMP%\nsg2.tmp\inetc.dll
Сетевая активность:
Подключается к:
- 'www.kk##56.com':80
TCP:
Запросы HTTP GET:
- www.kk##56.com/5.xml
UDP:
- DNS ASK www.pp##34.net
- DNS ASK www.kk##56.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
