Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- file1.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut8dcd.tmp
- %TEMP%\file1.exe
- %TEMP%\aut8dde.tmp
- %TEMP%\file2.exe
- %APPDATA%\microsoft\windows\iup41i.cfg
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\windows\iup41i.cfg
Удаляет следующие файлы
- %TEMP%\aut8dcd.tmp
- %TEMP%\aut8dde.tmp
Сетевая активность
Подключается к
- 'redir.metaservices.microsoft.com':80
- 'onlinestores.metaservices.microsoft.com':80
TCP
Запросы HTTP GET
- http://redir.metaservices.microsoft.com/redir/allservices/?sv################################################################################
- http://onlinestores.metaservices.microsoft.com/serviceswitching/AllServices.aspx?sv################################################################################
- http://onlinestores.metaservices.microsoft.com/bing/bing.xml
UDP
- DNS ASK redir.metaservices.microsoft.com
- DNS ASK onlinestores.metaservices.microsoft.com
Другое
Ищет следующие окна
- ClassName: 'JFWUI2' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\file1.exe'
- '%TEMP%\file2.exe'
Запускает на исполнение
- '%ProgramFiles(x86)%\windows media player\setup_wm.exe' /RunOnce:%TEMP%\file2.exe (со скрытым окном)
