Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\Zona\tmp\18467jre_packed.exe' %PROGRAM_FILES%\Zona
- '%APPDATA%\Zona\tmp\41javaSetup.exe' /s REBOOT=Suppress JAVAUPDATE=0 WEBSTARTICON=0
- '%APPDATA%\Zona\tmp\18467jre_packed.exe' (загружен из сети Интернет)
- '%APPDATA%\Zona\tmp\41javaSetup.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cscript.exe' //NoLogo %TEMP%\hd.vbs
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Zona\tmp\41javaSetup.exe
- %TEMP%\zon2.tmp
- %PROGRAM_FILES%\Zona\License_en.rtf
- %APPDATA%\Zona\tmp\26500appdata.7z
- %APPDATA%\Zona\tmp\6334Zona.7z
- %APPDATA%\Zona\tmp\18467jre_packed.exe
- %TEMP%\hd.vbs
- %APPDATA%\Zona\init.xml
- %TEMP%\ZonaInstall.log
- %PROGRAM_FILES%\Zona\License_uk.rtf
- %PROGRAM_FILES%\Zona\License_ru.rtf
- %PROGRAM_FILES%\Zona\utils.jar
Сетевая активность:
Подключается к:
- 'dl.#ona.ru':80
- 'i0.#8.net':80
- 'st##.#iniload.org':80
TCP:
Запросы HTTP GET:
- dl.#ona.ru/Zona.7z
- dl.#ona.ru/appdata.7z
- dl.#ona.ru/jre_packed.exe
- i0.#8.net/T/SCF_X.jpeg
- dl.#ona.ru/jre_latest.exe
UDP:
- DNS ASK dl.#ona.ru
- DNS ASK i0.#8.net
- DNS ASK st##.#iniload.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
