Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\is-PHB1F.tmp\<Имя вируса>.tmp' /SL5="$300D6,783834,244224,<Полный путь к вирусу>"
Запускает на исполнение:
- '<SYSTEM32>\wermgr.exe' "-outproc" "816" "2764"
- '<SYSTEM32>\slui.exe' -Embedding
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\is-6KMC1.tmp\license.en.rtf
- %TEMP%\is-6KMC1.tmp\printer.bmp
- C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_80072f78_805ff6e6daf5fedbb13daf2b1d56b5cbd7ea195_cab_05348d8f\client_manifest.txt
- C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_7.6.7600.256_d2caf64b7dbca2d781154d2562964c262846251_cab_0d4893d6\Report.wer
- %WINDIR%\Temp\OutofProcReport1085899.txt
- %TEMP%\Setup Log 2013-09-11 #001.txt
- %TEMP%\is-PHB1F.tmp\<Имя вируса>.tmp
- %TEMP%\is-6KMC1.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-6KMC1.tmp\certified.bmp
- %TEMP%\is-6KMC1.tmp\InstallerExtensions.dll
Удаляет следующие файлы:
- %WINDIR%\Temp\OutofProcReport1085899.txt
Сетевая активность:
Подключается к:
- '20#.#6.232.182':80
- 'download.windowsupdate.com':80
- 'tr#####g.uniblue.com':80
TCP:
Запросы HTTP GET:
- 20#.#6.232.182/fwlink/?Li######################################################################################################
Запросы HTTP POST:
- tr#####g.uniblue.com/v1/track
UDP:
- DNS ASK www.up####.microsoft.com
- DNS ASK go.###rosoft.com
- DNS ASK do#####d.microsoft.com
- DNS ASK tr#####g.uniblue.com
- DNS ASK download.windowsupdate.com
Другое:
Ищет следующие окна:
- ClassName: 'OleMainThreadWndClass' WindowName: '(null)'
