Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\wiawow64b.exe'
- '%TEMP%\secinita.exe'
- '%TEMP%\cmdb.exe'
- '%TEMP%\icsunattendb.exe'
- '%TEMP%\wiawow64b.exe' (загружен из сети Интернет)
- '%TEMP%\secinita.exe' (загружен из сети Интернет)
- '%TEMP%\icsunattendb.exe' (загружен из сети Интернет)
- '%TEMP%\cmdb.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\ehds[1].jpg
- %TEMP%\cmdb.exe
- %TEMP%\secinita.exe
- %TEMP%\wiawow64b.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\bch[1].jpg
- %TEMP%\nsz3.tmp\inetc.dll
- %TEMP%\nsy2.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\cdi[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\icsx[1].jpg
- %TEMP%\icsunattendb.exe
Удаляет следующие файлы:
- %TEMP%\nsz3.tmp\inetc.dll
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- '74.##8.73.101':80
TCP:
Запросы HTTP GET:
- 74.##8.73.101/qvcapp/ehds.jpg
- 74.##8.73.101/cgen/bch.jpg
- 74.##8.73.101/cgen/cdi.jpg
- 74.##8.73.101/qvcapp/icsx.jpg
Другое:
Ищет следующие окна:
- ClassName: '#32770' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
