Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\process.exe'
- '<SYSTEM32>\imcd.exe'
- '<SYSTEM32>\mmessenger.exe'
- '<SYSTEM32>\imglog.exe'
- '<SYSTEM32>\process.exe' (загружен из сети Интернет)
- '<SYSTEM32>\imcd.exe' (загружен из сети Интернет)
- '<SYSTEM32>\imglog.exe' (загружен из сети Интернет)
- '<SYSTEM32>\mmessenger.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\imcd[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\process[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\mmessenger[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\imglog[1].jpg
- <SYSTEM32>\perftemp.dll
Перемещает следующие файлы:
- <SYSTEM32>\imcd.ddd в <SYSTEM32>\imcd.exe
- <SYSTEM32>\imcd.ttt в <SYSTEM32>\imcd.ddd
- <SYSTEM32>\perftemp.dll в <SYSTEM32>\imcd.ttt
- <SYSTEM32>\process.ddd в <SYSTEM32>\process.exe
- <SYSTEM32>\process.ttt в <SYSTEM32>\process.ddd
- <SYSTEM32>\perftemp.dll в <SYSTEM32>\process.ttt
- <SYSTEM32>\imglog.ddd в <SYSTEM32>\imglog.exe
- <SYSTEM32>\imglog.ttt в <SYSTEM32>\imglog.ddd
- <SYSTEM32>\perftemp.dll в <SYSTEM32>\imglog.ttt
- <SYSTEM32>\mmessenger.ddd в <SYSTEM32>\mmessenger.exe
- <SYSTEM32>\mmessenger.ttt в <SYSTEM32>\mmessenger.ddd
- <SYSTEM32>\perftemp.dll в <SYSTEM32>\mmessenger.ttt
Сетевая активность:
Подключается к:
- 'www.mt####9.hpg.com.br':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- www.mt####9.hpg.com.br/imcd.jpg
- www.mt####9.hpg.com.br/process.jpg
- www.mt####9.hpg.com.br/imglog.jpg
- www.mt####9.hpg.com.br/mmessenger.jpg
UDP:
- DNS ASK www.mt####9.hpg.com.br
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: '(null)'
