Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\DESKADNEW\update.exe'
- '%PROGRAM_FILES%\DESKADNEW\svchost.exe'
- '%PROGRAM_FILES%\DESKADNEW\deskad.exe'
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' /s %PROGRAM_FILES%\DESKADNEW\MSWINSCK.OCX
- '<SYSTEM32>\regsvr32.exe' /s %PROGRAM_FILES%\DESKADNEW\MSINET.OCX
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\DESKADNEW\log.txt
- %TEMP%\{52E19ED3-FDC8-4743-8F7B-22015325F78B}\unzip.dll
- %WINDIR%\aplus.log
- %TEMP%\{52E19ED3-FDC8-4743-8F7B-22015325F78B}\download3.xml
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\download3[1].xml
- %PROGRAM_FILES%\DESKADNEW\update.exe
- %PROGRAM_FILES%\DESKADNEW\MSWINSCK.OCX
- %PROGRAM_FILES%\DESKADNEW\MSINET.OCX
- %PROGRAM_FILES%\DESKADNEW\svchost.exe
- %TEMP%\aut1.tmp
- %PROGRAM_FILES%\DESKADNEW\deskad.exe
Удаляет следующие файлы:
- %TEMP%\aut1.tmp
Сетевая активность:
Подключается к:
- '<IP-адрес в локальной сети>':16012
- '<IP-адрес в локальной сети>':16018
- 'localhost':1036
- 'do####.awangba.com':80
TCP:
Запросы HTTP GET:
- do####.awangba.com/download3.xml
UDP:
- DNS ASK do####.awangba.com
- '25#.#55.255.255':12347
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
