Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\vk_hacker.exe'
- '<SYSTEM32>.exe'
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /s %TEMP%\Fred\1.reg
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Fred\1.reg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\vk[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\s[1].gif
- %WINDIR%\vk_hacker.exe
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
- <SYSTEM32>.exe
Удаляет следующие файлы:
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
Сетевая активность:
Подключается к:
- 'la#.w.pw':80
- 'we####dqws.zz.mu':80
- 'te###1999.zz.mu':80
- 'localhost':1038
- '31.##0.165.178':21
- 'vk.com':80
TCP:
Запросы HTTP GET:
- we####dqws.zz.mu/RMS_HACKED/log.php?ke######################
- te###1999.zz.mu/log.php?ke######################
- vk.com/
- la#.w.pw/code/s.gif
UDP:
- DNS ASK we####dqws.zz.mu
- DNS ASK te###1999.zz.mu
- DNS ASK vk.com
- DNS ASK la#.w.pw
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
