Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\Adobe.lnk
- %HOMEPATH%\Start Menu\Programs\Startup\Windowsreg.exe.lnk
- %HOMEPATH%\Start Menu\Programs\Startup\Usbsupply.exe
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\Windowsreg.exe'
- '%HOMEPATH%\Start Menu\Programs\Startup\Usbsupply.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\aut7.tmp
- %APPDATA%\data\phatk.cl
- %TEMP%\aut8.tmp
- %APPDATA%\data\coinutil.dll
- %TEMP%\aut6.tmp
- %APPDATA%\data\openssl.dll
- %APPDATA%\data\gmp.dll
- %APPDATA%\data\usft_ext.dll
- %TEMP%\RarSFX0\data1
- %TEMP%\RarSFX0\data2
- %TEMP%\aut9.tmp
- %APPDATA%\data\miner.dll
- %TEMP%\autA.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\n09230945[1].asp
- %APPDATA%\data\Windowsreg.exe
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
- %TEMP%\RarSFX0\Windowsreg.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\checkip.dyndns[1]
- %APPDATA%\data\Adobe.vbe
- %TEMP%\aut4.tmp
- %APPDATA%\data\calculator.exe
- %TEMP%\aut5.tmp
- %APPDATA%\data\Adobe.bat
- %TEMP%\aut3.tmp
- %APPDATA%\data\mstsc.exe
Удаляет следующие файлы:
- %TEMP%\aut9.tmp
- %TEMP%\aut8.tmp
- %TEMP%\aut7.tmp
- %TEMP%\RarSFX0\data2
- %TEMP%\RarSFX0\data1
- %TEMP%\autA.tmp
- %TEMP%\aut3.tmp
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
- %TEMP%\aut6.tmp
- %TEMP%\aut5.tmp
- %TEMP%\aut4.tmp
Сетевая активность:
Подключается к:
- 'ze####ta.myftp.org':1221
- 'au######on.whatismyip.com':80
- 'ch####p.dyndns.org':80
TCP:
Запросы HTTP GET:
- au######on.whatismyip.com/n09230945.asp
- ch####p.dyndns.org/
UDP:
- DNS ASK Ze####ta.myftp.org
- DNS ASK au######on.whatismyip.com
- DNS ASK ch####p.dyndns.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
