Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\gz.exe' -d -q "<Имя вируса>.torrent.gz"
- '%PROGRAM_FILES%\gz.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsr3.tmp\skip.bmp
- %TEMP%\nsr3.tmp\decline.bmp
- %TEMP%\nsr3.tmp\accept.bmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\MainPackFA2703[1].exe
- %PROGRAM_FILES%\ocmainpack.exe
- %TEMP%\nsr3.tmp\nsDialogs.dll
- %TEMP%\nsr3.tmp\x.bmp
- %TEMP%\nsr3.tmp\stvheader2.bmp
- %TEMP%\nsr3.tmp\box.bmp
- %TEMP%\nsr3.tmp\accept1.bmp
- %TEMP%\nsr3.tmp\accept2.bmp
- %TEMP%\nsr3.tmp\accept3.bmp
- %TEMP%\nsr3.tmp\bab_on.bmp
- %TEMP%\nsr3.tmp\bab_off.bmp
- %TEMP%\nsr3.tmp\inetc3.dll
- %TEMP%\nsw2.tmp
- %TEMP%\nsr3.tmp\System.dll
- %TEMP%\nsr3.tmp\locate.dll
- %TEMP%\nsr3.tmp\gCo
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\gzip2[1].exe
- %PROGRAM_FILES%\gz.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\$pingword-1&uid=229680172&tuid=3111334&sref=1CD_16_3_1CDN&vmdt=_&bld=16CJ[1]
- %TEMP%\nsr3.tmp\gC0
- %TEMP%\nsr3.tmp\NSISdl.dll
Сетевая активность:
Подключается к:
- 'fi###.#ownload1click.ws':80
- 'da##.###nloadstarter.net':80
TCP:
Запросы HTTP GET:
- fi###.#ownload1click.ws/gzip2.exe
- fi###.#ownload1click.ws/MainPackFA2703.exe
- da##.###nloadstarter.net/$pingword-1&uid=229680172&tuid=3111334&sref=1CD_16_3_1CDN&vmdt=|&bld=16CJ
- da##.###nloadstarter.net/$pingword0&uid=229680172&tuid=3111334&sref=1CD_16_3_1CDN&bld=16CJ
UDP:
- DNS ASK fi###.#ownload1click.ws
- DNS ASK da##.###nloadstarter.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '#32770' WindowName: ''
