Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Classes\VBSFile\Shell\Open\Command] '' = '<SYSTEM32>\CScript.exe //nologo "%1" %*'
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' "%APPDATA%\HTMLchromeIEbrowserhistorycache.vbs"
- '<SYSTEM32>\cscript.exe' //nologo %APPDATA%\HTMLchromeIEbrowserhistorycache.vbs
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\verclsid.exe' /C {BDEADF00-C265-11D0-BCED-00A0C90AB50F} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
Изменения в файловой системе
Создает следующие файлы
- C:\Documents\user\locals~1\temp\~df7d40.tmp
- %APPDATA%\htmlchromeiebrowserhistorycache.vbs
- %HOMEPATH%\nethood\my web sites on msn\desktop.ini
- %HOMEPATH%\nethood\my web sites on msn\target.lnk
Сетевая активность
Подключается к
- '91.##.249.44':80
TCP
Запросы HTTP GET
- http://91.##.249.44/HTMLieBrowserChromeHistoryCleanup.dOC
- http://91.##.249.44/wednesdayyyyyyyFile_Vbs.vbs
Другое
Ищет следующие окна
- ClassName: 'Ghost' WindowName: ''
- ClassName: 'MsoHelp11' WindowName: ''
- ClassName: 'AgentAnim' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\cscript.exe' //nologo %APPDATA%\HTMLchromeIEbrowserhistorycache.vbs' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office12\winword.exe' -Embedding
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
