Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\spt_tmp_n.exe' /silent /rfr=openpart --mpcln=9516 /partner_homepage=http://ho####.alllinkers.ru/v_install?si############################################################################# /partner_dse=http://ho####.alllinkers.ru/v_install?si##############################################################################
- '%TEMP%\int_tmp_n.exe' --silent --rfr=openpart --ua_rfr=CHANNEL_openpart "--partner_new_url=http://ho####.alllinkers.ru/v_install?si###########################################################
- '%WINDIR%\st.exe'
- '%TEMP%\st_.exe' 669 1
- '%TEMP%\int_tmp_n.exe' (загружен из сети Интернет)
- '%TEMP%\spt_tmp_n.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\spt_tmp_n.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\AmigoDistrib[1].exe
- %TEMP%\int_tmp_n.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\mailruhomesearch[1].exe
- %WINDIR%\st.exe
- %TEMP%\st_.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\top_link[1].php
Сетевая активность:
Подключается к:
- 'am####in.cdnmail.ru':80
- 'sp######ailru.cdnmail.ru':80
- 'fo####kgames.com':80
TCP:
Запросы HTTP GET:
- am####in.cdnmail.ru/AmigoDistrib.exe
- sp######ailru.cdnmail.ru/mailruhomesearch.exe
- fo####kgames.com/top_link.php?sd############################################
UDP:
- DNS ASK am####in.cdnmail.ru
- DNS ASK sp######ailru.cdnmail.ru
- DNS ASK fo####kgames.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'Tmm90' WindowName: '?????????? ?????? "st.rar"'
