Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\avira.exe' = '%TEMP%\avira.exe:*:Enabled:avira.exe'
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\avwebloader.exe' /avira_antivirus.exe
- '%TEMP%\avira_antivirus.exe'
- '%TEMP%\avira.exe'
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%TEMP%\avira.exe" "avira.exe" ENABLE
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\rcnwload_ko.dll
- %TEMP%\RarSFX0\rcnwload_nl.dll
- %TEMP%\RarSFX0\rcnwload_pt.dll
- %TEMP%\RarSFX0\rcnwload_jp.dll
- %TEMP%\RarSFX0\rcnwload_es.dll
- %TEMP%\RarSFX0\rcnwload_fr.dll
- %TEMP%\RarSFX0\rcnwload_it.dll
- %TEMP%\RarSFX0\rcnwload_ru.dll
- %TEMP%\RarSFX0\update.dll
- %TEMP%\RarSFX0\updatemsg.avr
- %TEMP%\avnwldrtemp\networkloader.log
- %TEMP%\RarSFX0\scewxmlw.dll
- %TEMP%\RarSFX0\rcnwload_tr.dll
- %TEMP%\RarSFX0\rcnwload_zhcn.dll
- %TEMP%\RarSFX0\rcnwload_zhtw.dll
- %TEMP%\RarSFX0\rcnwload_en.dll
- %TEMP%\RarSFX0\avmres.dll
- %TEMP%\RarSFX0\avwebloader.dll
- %TEMP%\RarSFX0\avwebloader.exe
- %TEMP%\avira_antivirus.exe
- %TEMP%\aut1.tmp
- %TEMP%\avira.exe
- %TEMP%\aut2.tmp
- %TEMP%\RarSFX0\avwebloadergui.dll
- %TEMP%\RarSFX0\rcimage.dll
- %TEMP%\RarSFX0\rcnwload_ar.dll
- %TEMP%\RarSFX0\rcnwload_de.dll
- %TEMP%\RarSFX0\msvcr100.dll
- %TEMP%\RarSFX0\build.dat
- %TEMP%\RarSFX0\loadercontrol.xml
- %TEMP%\RarSFX0\msvcp100.dll
Удаляет следующие файлы:
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
Сетевая активность:
Подключается к:
- 'ch#####1995.no-ip.biz':1777
UDP:
- DNS ASK ch#####1995.no-ip.biz
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
