Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Создает и запускает на исполнение:
- '%TEMP%\12.exe'
- '%TEMP%\7C26.temp'
- '%TEMP%\10.exe'
- '%TEMP%\001eaaf.tmp'
- '%TEMP%\7C26.temp' (загружен из сети Интернет)
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG' WindowName: '(null)'
- ClassName: 'FileMonClass' WindowName: '(null)'
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\usp10.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\m1012[1].txt
- %TEMP%\7C26.temp
- %TEMP%\10.exe
- %TEMP%\12.exe
Удаляет следующие файлы:
- %TEMP%\001eaaf.tmp
- %TEMP%\12.exe
- %TEMP%\10.exe
Сетевая активность:
Подключается к:
- 'tj###2.h5gy.com':80
- 'd2####26.fos3e.com':80
TCP:
Запросы HTTP GET:
- tj###2.h5gy.com/tj1012/post.asp?d1######################################################
- d2####26.fos3e.com/ico/m1012.txt
UDP:
- DNS ASK tj###2.h5gy.com
- DNS ASK d2####26.fos3e.com
Другое:
Ищет следующие окна:
- ClassName: '18467-41' WindowName: '(null)'
