Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\hjcc.exe'
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\verclsid.exe' /C {BDEADF00-C265-11D0-BCED-00A0C90AB50F} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
Изменения в файловой системе
Создает следующие файлы
- C:\Documents\user\locals~1\temp\~df1dbe.tmp
- %APPDATA%\hjcc.exe
- %HOMEPATH%\nethood\my web sites on msn\desktop.ini
- %HOMEPATH%\nethood\my web sites on msn\target.lnk
- C:\Documents\user\locals~1\temp\dw.log
- C:\Documents\user\locals~1\temp\16420f.dmp
- <Текущая директория>\ad561000
- C:\Documents\user\locals~1\temp\~dfaf33.tmp
Удаляет следующие файлы
- C:\Documents\user\locals~1\temp\16420f.dmp
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'po#.tg':80
- '10#.#9.0.182':80
TCP
Запросы HTTP GET
- http://po#.tg/LBL1C
- http://10#.#9.0.182/xampp/wdf/wearegoingtobegoodwithmebecauseireallylovethisallpersonandinotwanttodonothingbecausesheisverybeautifulgirl___iunderstandsheisgoodo.doc
- http://10#.#9.0.182/kung/bin.exe
UDP
- DNS ASK po#.tg
Другое
Ищет следующие окна
- ClassName: 'Ghost' WindowName: ''
- ClassName: 'MsoHelp11' WindowName: ''
- ClassName: 'AgentAnim' WindowName: ''
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office12\winword.exe' -Embedding
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 440
