Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
Изменения в файловой системе
Создает следующие файлы
- C:\7_33\bmjs.hvj
- C:\7_33\khnqobamu.jpg
- C:\7_33\oggt.bin
- C:\7_33\ndwd.bin
- C:\7_33\rwjxgais.msc
- C:\7_33\vjsfqivcmn.xls
- C:\7_33\nuqtotlnun.dll
- C:\7_33\covahehlkj.log
- C:\7_33\uuvffbir.bin
- C:\7_33\qonrofm.exe
- C:\7_33\ifjxlposw.cpl
- C:\7_33\hjko.ppt
- C:\7_33\xeogwt.bmp
- C:\7_33\hltnva.ico
- C:\7_33\afpasu.ini
- C:\7_33\ckum.dat
- C:\7_33\babaoknuiu.cpl
- C:\7_33\inhater.xml
- C:\7_33\gvltfwei.dat
- C:\7_33\htef.pdf
- C:\7_33\olujftfqx.log
- C:\7_33\avvgntxch.dat
- C:\7_33\rgxxjpdfh.exe
- C:\7_33\pclqobnump.exe
- C:\7_33\sjfexw.xls
- C:\7_33\jnqevoubkn.exe
- C:\7_33\xhqhbponlg.pif
- C:\7_33\ofuuxhkju.qrx
- C:\7_33\jlselgntjr.jpg
- C:\7_33\cuqq.docx
- %HOMEPATH%\temp\jlselgntjr.jpg
Присваивает атрибут 'скрытый' для следующих файлов
- C:\7_33\xhqhbponlg.pif
Удаляет следующие файлы
- %WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe
Сетевая активность
UDP
- 'localhost':53100
- 'localhost':57997
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- 'C:\7_33\xhqhbponlg.pif' ofuuxhkju.qrx
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe'
- '%WINDIR%\syswow64\cscript.exe'
- '%WINDIR%\syswow64\mstsc.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%WINDIR%\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe"
