Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6BEAB400-2437-4EE5-A39A-BE4EFE42A7C9}" /f
- '<SYSTEM32>\find.exe' "@=" 1.txt
- '<SYSTEM32>\attrib.exe' +r +s +h <SYSTEM32>\RtlExUp.dll
- '<SYSTEM32>\ping.exe' /n 2 127.1
- '<SYSTEM32>\cmd.exe' /c <Текущая директория>\Topy.bat
- '<SYSTEM32>\regsvr32.exe' /u /s <SYSTEM32>\apphelp32.dll
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\RtlExUp.bat
- '<SYSTEM32>\regsvr32.exe' /s <SYSTEM32>\RtlExUp.dll
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 1
- '%WINDIR%\regedit.exe' /e 1.txt "HKEY_CLASSES_ROOT\NetBarIndex.IndexNetBar\Clsid\"
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\1.txt
- <Текущая директория>\2.txt
- <Текущая директория>\Topy.bat
- <SYSTEM32>\RtlExUp.dll
- <SYSTEM32>\RtlExUp.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\RtlExUp.dll
Удаляет следующие файлы:
- %TEMP%\~DFA942.tmp
- <Текущая директория>\2.txt
- <Текущая директория>\1.txt
Самоудаляется.
Сетевая активность:
Подключается к:
- '91###.3322.org':5618
- 'localhost':1036
UDP:
- DNS ASK 91###.3322.org
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
