Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\{7HDF71XA-4EFU-MH8F-2NAI-GZUUDQTLO0WK}\cuh44gk.exe'
- '<LS_APPDATA>\{7HDF71XA-4EFU-MH8F-2NAI-GZUUDQTLO0WK}\qkotgmkxo0.exe'
- '<LS_APPDATA>\{7HDF71XA-4EFU-MH8F-2NAI-GZUUDQTLO0WK}\cuh44gk.exe' (загружен из сети Интернет)
- '<LS_APPDATA>\{7HDF71XA-4EFU-MH8F-2NAI-GZUUDQTLO0WK}\qkotgmkxo0.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /C <Текущая директория>\<Имя вируса>.bat
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\<Имя вируса>.bat
- <Текущая директория>\<Имя вируса>.pdf
- <LS_APPDATA>\{7HDF71XA-4EFU-MH8F-2NAI-GZUUDQTLO0WK}\qkotgmkxo0.exe
- <LS_APPDATA>\{7HDF71XA-4EFU-MH8F-2NAI-GZUUDQTLO0WK}\cuh44gk.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ma####anaweb.hol.es':80
- 'co####ial.pusku.com':80
TCP:
Запросы HTTP GET:
- co####ial.pusku.com/lanchonete/suco.bmp
- co####ial.pusku.com/lanchonete/vitamina.bmp
Запросы HTTP POST:
- ma####anaweb.hol.es/adm/contador.php
UDP:
- DNS ASK ma####anaweb.hol.es
- DNS ASK co####ial.pusku.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'TFrmRepEvent' WindowName: '(null)'
