Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\pcpra.exe'
- '<SYSTEM32>\rqdgc.exe'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsv4.tmp\FindProcDLL.dll
- %TEMP%\nsv4.tmp\AccessControl.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\sogoupid[1].asp
- %TEMP%\nsv4.tmp\ShellLink.dll
- %TEMP%\nsv4.tmp\System.dll
- <SYSTEM32>\IEMon.exe
- %TEMP%\nsi2.tmp\System.dll
- <SYSTEM32>\Log\Install.log
- <SYSTEM32>\Launch_IE.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\pcpra.exe
Удаляет следующие файлы:
- %TEMP%\nsv4.tmp\ShellLink.dll
- %TEMP%\nsv4.tmp\System.dll
- %TEMP%\nsv4.tmp\FindProcDLL.dll
- %TEMP%\nsi2.tmp\System.dll
- %TEMP%\nsv4.tmp\AccessControl.dll
Перемещает следующие файлы:
- <SYSTEM32>\Launch_IE.exe в <SYSTEM32>\pcpra.exe
- <SYSTEM32>\IEMon.exe в <SYSTEM32>\rqdgc.exe
Сетевая активность:
Подключается к:
- 'www.so###-agent.com':80
TCP:
Запросы HTTP GET:
- www.so###-agent.com/sogoupid.asp?p=##
UDP:
- DNS ASK www.so###-agent.com
