Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\nmsgrf.exe'
- '%WINDIR%\sgrf.exe'
- '%WINDIR%\gbier.exe'
- '%WINDIR%\avg.exe'
- '%WINDIR%\msnmsgrf.exe'
- '%WINDIR%\sgrf.exe' (загружен из сети Интернет)
- '%WINDIR%\gbier.exe' (загружен из сети Интернет)
- '%WINDIR%\msnmsgrf.exe' (загружен из сети Интернет)
- '%WINDIR%\nmsgrf.exe' (загружен из сети Интернет)
- '%WINDIR%\avg.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\jt[1].jpg
- %WINDIR%\nmsgrf.exe
- %WINDIR%\sgrf.exe
- %WINDIR%\gbier.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\jpgplgns[1].jpg
- %WINDIR%\avg.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\jtita[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\mrsn[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\brasilia[1].jpg
- %WINDIR%\msnmsgrf.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Полный путь к вирусу>
Сетевая активность:
Подключается к:
- 'www.so#####ciocimento.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- www.so#####ciocimento.com/jota/jt.jpg
- www.so#####ciocimento.com/arm/jpgplgns.jpg
- www.so#####ciocimento.com/brasilia.jpg
- www.so#####ciocimento.com/jota/jtita.jpg
- www.so#####ciocimento.com/mrsn.jpg
UDP:
- DNS ASK www.so#####ciocimento.com
