Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\Hamachi Updater.exe
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\conhost.exe'
- '%WINDIR%\svchost.exe'
Запускает на исполнение:
- '<SYSTEM32>\msiexec.exe' -Embedding 5C8147DDE9C020E9A48927D9714DA041 C
- '<SYSTEM32>\msiexec.exe' /V
- '<SYSTEM32>\msiexec.exe' /i "%TEMP%\tmp1.msi"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Cab4.tmp
- %TEMP%\Cab6.tmp
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\94308059B57B3142E455B38A6EB92015
- %TEMP%\Cab2.tmp
- %TEMP%\MSI8.tmp
- %TEMP%\fhf7hdf0.tmp
- %TEMP%\jdf893h89.tmp
- %TEMP%\HamachiSetup.log
- %TEMP%\MSI9.tmp
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\94308059B57B3142E455B38A6EB92015
- %WINDIR%\Autostart.ini
- %WINDIR%\conhost.exe
- %TEMP%\tmp1.msi
- %WINDIR%\iconHamachi Updater.ico
- %WINDIR%\Interop.Shell32.dll
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\2BF68F4714092295550497DD56F57004
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\2BF68F4714092295550497DD56F57004
- %WINDIR%\svchost.exe
- %TEMP%\2e0f0.msi
Удаляет следующие файлы:
- %TEMP%\MSI8.tmp
- %TEMP%\MSI9.tmp
- %TEMP%\Cab6.tmp
- %TEMP%\Cab2.tmp
- %TEMP%\Cab4.tmp
Сетевая активность:
Подключается к:
- 'so#####ort.lima-city.de':80
- 'sc##tu.net':80
- 'wp#d':80
- 'www.download.windowsupdate.com':80
TCP:
Запросы HTTP GET:
- so#####ort.lima-city.de/links2.txt
- sc##tu.net/h?ci################
- www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
- wp#d/wpad.dat
- www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt
UDP:
- DNS ASK so#####ort.lima-city.de
- DNS ASK sc##tu.net
- DNS ASK wp#d
- DNS ASK www.download.windowsupdate.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
