Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\276796.exe'
- '%TEMP%\276796.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\oid.bat" "<Полный путь к вирусу>" "
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\BulletProof Software\BulletProof FTP Client\Options]
- [<HKCU>\Software\BPFTP]
- [<HKCU>\Software\BPFTP\Bullet Proof FTP\Options]
- [<HKCU>\Software\BPFTP\Bullet Proof FTP\Main]
- [<HKCU>\Software\BulletProof Software\BulletProof FTP Client\Main]
- [<HKCU>\Software\Sota\FFFTP\Options]
- [<HKCU>\Software\South River Technologies\WebDrive\Connections]
- [<HKLM>\Software\South River Technologies\WebDrive\Connections]
- [<HKCU>\Software\FTP Explorer\Profiles]
- [<HKCU>\Software\CoffeeCup Software\Internet\Profiles]
- [<HKCU>\Software\FTPWare\COREFTP\Sites]
- [<HKLM>\Software\FlashFXP]
- [<HKCU>\Software\Far2\SavedDialogHistory\FTPHost]
- [<HKCU>\Software\Ghisler\Windows Commander]
- [<HKCU>\Software\Far\SavedDialogHistory\FTPHost]
- [<HKCU>\Software\Far\Plugins\FTP\Hosts]
- [<HKCU>\Software\Far2\Plugins\FTP\Hosts]
- [<HKLM>\Software\Ghisler\Windows Commander]
- [<HKCU>\Software\FlashFXP]
- [<HKLM>\Software\FlashFXP\3]
- [<HKCU>\Software\FlashFXP\3]
- [<HKCU>\Software\Ghisler\Total Commander]
- [<HKLM>\Software\Ghisler\Total Commander]
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\oid.bat
- %TEMP%\276796.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'we###ettor.com':80
TCP:
Запросы HTTP GET:
- we###ettor.com/gui/id.php
- we###ettor.com/gui/0.php
UDP:
- DNS ASK we###ettor.com
