Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Завершает или пытается завершить
следующие пользовательские процессы:
- ecmd.exe
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\PUXJHaDt\I2YbZkhhH
- <LS_APPDATA>\PUXJHaDt\A0JliSSyKVsM
- <LS_APPDATA>\PUXJHaDt\5cZrxpKcZFo
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\index2[1].php
- <LS_APPDATA>\PUXJHaDt\rw8DWmePB
Удаляет следующие файлы:
- <LS_APPDATA>\PUXJHaDt\5cZrxpKcZFo
- <LS_APPDATA>\PUXJHaDt\I2YbZkhhH
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\index2[1].php
- <LS_APPDATA>\PUXJHaDt\rw8DWmePB
Самоперемещается:
- из <Полный путь к вирусу> в <LS_APPDATA>\PUXJHaDt\tbxvz0gHp.dll
Сетевая активность:
Подключается к:
- 'kl##stat.eu':80
TCP:
Запросы HTTP GET:
- kl##stat.eu/index2.php?ne#######
- kl##stat.eu/index2.php?BO##########################################################################################################################################################
UDP:
- DNS ASK kl##stat.eu
