Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\verclsid.exe' /C {BDEADF00-C265-11D0-BCED-00A0C90AB50F} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
- '<SYSTEM32>\mshta.exe' "C:\DOCUME~1\user\LOCALS~1\Temp\IBM_NETSAT.hta"
Изменения в файловой системе
Создает следующие файлы
- C:\Documents\user\locals~1\temp\~df865d.tmp
- C:\Documents\user\locals~1\temp\ibm_netsat.hta
- %HOMEPATH%\nethood\my web sites on msn\desktop.ini
- %HOMEPATH%\nethood\my web sites on msn\target.lnk
- <Текущая директория>\a6b61000
- C:\Documents\user\locals~1\temp\~df98c.tmp
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- '19#.#.243.146':80
TCP
Запросы HTTP GET
- http://19#.#.243.146/40/v/ICUICUICUICUICUIUCIUCIUCIUCIU%23%23%23%23%23%23%23%23%23%23%23%23%23%23%23%23%23%23%23ICUICUICUICUICUCIUCIU.DOC
- http://19#.#.243.146/40/v/cmsh.hta
Другое
Ищет следующие окна
- ClassName: 'Ghost' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MsoHelp11' WindowName: ''
- ClassName: 'AgentAnim' WindowName: ''
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office12\winword.exe' -Embedding
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
