Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\cxqoytgm.exe'
- '<SYSTEM32>\mjhiyyor.exe' /pid=2940
- '<SYSTEM32>\vcrukmpc.exe'
- '<SYSTEM32>\lewtkxkj.exe'
- '<SYSTEM32>\bnaffjqb.exe'
- '<SYSTEM32>\flwzyutl.exe'
- '<SYSTEM32>\jnbkbhhm.exe'
- '<SYSTEM32>\mjhiyyor.exe' /pid=2764
- '<SYSTEM32>\xxyyyemt.exe'
- '<SYSTEM32>\ieckvnma.exe'
- '%PROGRAM_FILES%\Server.exe' /pid=300
- '<SYSTEM32>\gtqmopww.exe'
- '<SYSTEM32>\jwqwzovv.exe' /pid=1376
- '<SYSTEM32>\sfrqvxwf.exe'
- '<SYSTEM32>\narnoxkj.exe'
- '<SYSTEM32>\irxllagk.exe'
- '<SYSTEM32>\xctociav.exe' /pid=3776
- '<SYSTEM32>\mnzzwipy.exe'
- '<SYSTEM32>\rwdqlhul.exe'
- '<SYSTEM32>\shjgotul.exe'
- '<SYSTEM32>\dpjarlwt.exe'
- '<SYSTEM32>\mlmywzus.exe'
- '<SYSTEM32>\jhzvhejr.exe'
- '<SYSTEM32>\mjhiyyor.exe'
- '%PROGRAM_FILES%\Server.exe'
- '<SYSTEM32>\gajtdmup.exe'
- '<SYSTEM32>\siuafsud.exe'
- '<SYSTEM32>\upvwwapb.exe'
- '<SYSTEM32>\tvyavpae.exe'
- '<SYSTEM32>\xctociav.exe'
- '<SYSTEM32>\jwqwzovv.exe'
- '<SYSTEM32>\diwkkilq.exe'
- '<SYSTEM32>\dydbgfyn.exe'
- '<SYSTEM32>\evqxsawv.exe'
- '<SYSTEM32>\csmjjgpz.exe'
- '<SYSTEM32>\jhzvhejr.exe' (загружен из сети Интернет)
- '%PROGRAM_FILES%\Server.exe' (загружен из сети Интернет)
- '<SYSTEM32>\evqxsawv.exe' (загружен из сети Интернет)
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\xxyyyemt.exe
- <SYSTEM32>\flwzyutl.exe
- <SYSTEM32>\tqhvzxmm.exe
- <SYSTEM32>\bnaffjqb.exe
- <SYSTEM32>\diwkkilq.exe
- <SYSTEM32>\xctociav.exe
- <SYSTEM32>\jnbkbhhm.exe
- <SYSTEM32>\jwqwzovv.exe
- <SYSTEM32>\cxqoytgm.exe
- <SYSTEM32>\sfrqvxwf.exe
- <SYSTEM32>\mnzzwipy.exe
- <SYSTEM32>\gtqmopww.exe
- <SYSTEM32>\ieckvnma.exe
- <SYSTEM32>\vcrukmpc.exe
- <SYSTEM32>\lewtkxkj.exe
- <SYSTEM32>\narnoxkj.exe
- <SYSTEM32>\irxllagk.exe
- <SYSTEM32>\siuafsud.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\Server[1].exe
- <SYSTEM32>\jhzvhejr.exe
- <SYSTEM32>\gajtdmup.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\Server[1].exe
- <SYSTEM32>\mjhiyyor.exe
- %PROGRAM_FILES%\Server.exe
- <SYSTEM32>\shjgotul.exe
- <SYSTEM32>\csmjjgpz.exe
- <SYSTEM32>\dydbgfyn.exe
- <SYSTEM32>\upvwwapb.exe
- <SYSTEM32>\tvyavpae.exe
- <SYSTEM32>\mlmywzus.exe
- <SYSTEM32>\rwdqlhul.exe
- <SYSTEM32>\evqxsawv.exe
- <SYSTEM32>\dpjarlwt.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\bnaffjqb.exe
- <SYSTEM32>\tqhvzxmm.exe
- <SYSTEM32>\cxqoytgm.exe
- <SYSTEM32>\xxyyyemt.exe
- <SYSTEM32>\jwqwzovv.exe
- <SYSTEM32>\jnbkbhhm.exe
- <SYSTEM32>\flwzyutl.exe
- <SYSTEM32>\lewtkxkj.exe
- <SYSTEM32>\sfrqvxwf.exe
- <SYSTEM32>\ieckvnma.exe
- <SYSTEM32>\gtqmopww.exe
- <SYSTEM32>\mnzzwipy.exe
- <SYSTEM32>\vcrukmpc.exe
- <SYSTEM32>\irxllagk.exe
- <SYSTEM32>\narnoxkj.exe
- <SYSTEM32>\shjgotul.exe
- <SYSTEM32>\rwdqlhul.exe
- <SYSTEM32>\mlmywzus.exe
- <SYSTEM32>\jhzvhejr.exe
- <SYSTEM32>\mjhiyyor.exe
- <SYSTEM32>\siuafsud.exe
- <SYSTEM32>\gajtdmup.exe
- <SYSTEM32>\dpjarlwt.exe
- <SYSTEM32>\upvwwapb.exe
- <SYSTEM32>\xctociav.exe
- <SYSTEM32>\diwkkilq.exe
- <SYSTEM32>\tvyavpae.exe
- <SYSTEM32>\evqxsawv.exe
- <SYSTEM32>\dydbgfyn.exe
- <SYSTEM32>\csmjjgpz.exe
Удаляет следующие файлы:
- %TEMP%\~DF3ACD.tmp
- %TEMP%\~DF5CD4.tmp
- %TEMP%\~DF785D.tmp
- %TEMP%\~DFE525.tmp
- %TEMP%\~DF7D9F.tmp
- %TEMP%\~DFAB32.tmp
- %TEMP%\~DF590.tmp
- %TEMP%\~DF75CB.tmp
- %TEMP%\~DFE67A.tmp
- %TEMP%\~DF5F3E.tmp
- %TEMP%\~DF5D5B.tmp
- %TEMP%\~DFE88B.tmp
- %TEMP%\~DFAD96.tmp
- %TEMP%\~DFEBE3.tmp
- %TEMP%\~DFEA22.tmp
- %TEMP%\~DFA5C1.tmp
- %TEMP%\~DF1E58.tmp
- %TEMP%\~DFA12A.tmp
- %TEMP%\~DF5DE.tmp
- %TEMP%\~DFAEE5.tmp
- %TEMP%\~DF9060.tmp
- %TEMP%\~DFAA6B.tmp
- %TEMP%\~DF19D9.tmp
- %TEMP%\~DF37BD.tmp
- %TEMP%\~DF843D.tmp
- %TEMP%\~DF75DC.tmp
- %TEMP%\~DF51DC.tmp
- %TEMP%\~DF1758.tmp
- %TEMP%\~DF14F0.tmp
- %TEMP%\~DF10DF.tmp
- %TEMP%\~DF5A85.tmp
- %TEMP%\~DF469F.tmp
- %TEMP%\~DFBF66.tmp
- %TEMP%\~DFB969.tmp
- %TEMP%\~DF82E1.tmp
- %TEMP%\~DFBA2.tmp
- %TEMP%\~DF48A2.tmp
- %TEMP%\~DF42DA.tmp
- %TEMP%\~DFB9BC.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\Server[1].exe
- %TEMP%\~DF3CCC.tmp
- %TEMP%\~DF5B11.tmp
- %TEMP%\~DF3078.tmp
- %TEMP%\~DFF939.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\Server[1].exe
- %TEMP%\~DF21C0.tmp
- %TEMP%\~DFCD7C.tmp
- %TEMP%\~DFC8BC.tmp
- %TEMP%\~DFE678.tmp
- %TEMP%\~DFCCF0.tmp
- %TEMP%\~DF598A.tmp
- %TEMP%\~DF98B8.tmp
- %TEMP%\~DF55FA.tmp
- %TEMP%\~DF6DF.tmp
- %TEMP%\~DFD1FC.tmp
- %TEMP%\~DFCD1D.tmp
- %TEMP%\~DFD007.tmp
- %TEMP%\~DF9720.tmp
- %TEMP%\~DF5DBB.tmp
- %TEMP%\~DF3C71.tmp
- %TEMP%\~DF59CF.tmp
Сетевая активность:
Подключается к:
- 'localhost':1097
- 'localhost':1094
- 'localhost':1103
- 'localhost':1100
- 'localhost':1085
- 'localhost':1082
- 'localhost':1091
- 'localhost':1088
- 'localhost':1121
- 'localhost':1118
- 'localhost':1127
- 'localhost':1124
- 'localhost':1109
- 'localhost':1106
- 'localhost':1115
- 'localhost':1112
- 'localhost':1079
- 'localhost':1046
- 'localhost':1043
- 'localhost':1052
- 'localhost':1049
- 'localhost':1037
- 'bl##.naver.com':80
- 'localhost':1040
- 'pd###.egloos.com':80
- 'localhost':1070
- 'localhost':1067
- 'localhost':1076
- 'localhost':1073
- 'localhost':1058
- 'localhost':1055
- 'localhost':1064
- 'localhost':1061
TCP:
Запросы HTTP GET:
- pd###.egloos.com/pds/201210/20/96/Server.exe
- bl##.naver.com/PostView.nhn?bl################################################################################################################################################################################################
UDP:
- DNS ASK pd###.egloos.com
- DNS ASK bl##.naver.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
