Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\find.exe' /C /I "mirror2.internetdownloadmanager.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "mirror3.internetdownloadmanager.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "secure.internetdownloadmanager.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "mirror.internetdownloadmanager.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\reg.exe' import idmreg.dat
- '<SYSTEM32>\wscript.exe' "<Текущая директория>\vb.vbs"
- '<SYSTEM32>\find.exe' /C /I "localhost" <DRIVERS>\etc\hosts
- '%WINDIR%\sleep.exe' -m 4500
- '<SYSTEM32>\find.exe' /C /I "www.to##c.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "registeridm.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\wscript.exe' "<Текущая директория>\vb1.vbs"
- '<SYSTEM32>\find.exe' /C /I "tonec.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "internetdownloadmanager.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "www.in#######ownloadmanager.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "www.re####eridm.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "secure.registeridm.com" <DRIVERS>\etc\hosts
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\vb.vbs
- <Текущая директория>\vb1.vbs
- %TEMP%\2824ASGF.cmd
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\2824ASGF.cmd
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
