Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\antiban_warface_11.exe'
- '%TEMP%\RarSFX0\php.exe'
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' -s -r -h <DRIVERS>\etc\hosts
- '<SYSTEM32>\cacls.exe' <DRIVERS>\etc\hosts /E /G Все:F
- '<SYSTEM32>\cacls.exe' <DRIVERS>\etc\hosts /E /G All:F
- '<SYSTEM32>\ipconfig.exe' /flushdns
- '<SYSTEM32>\cacls.exe' <DRIVERS>\etc\hosts /E /R Все
- '<SYSTEM32>\cacls.exe' <DRIVERS>\etc\hosts /E /R All
- '<SYSTEM32>\find.exe' /i "81.177.141.132 u7871302.isp.regruhosting.ru"
- '<SYSTEM32>\cacls.exe' %WINDIR%\SysWOW64\drivers\etc\hosts /E /G Все:F
- '<SYSTEM32>\cacls.exe' %WINDIR%\SysWOW64\drivers\etc\hosts /E /G All:F
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\chrome.bat" "
- '<SYSTEM32>\cacls.exe' %WINDIR%\SysWOW64\drivers\etc\hosts /E /R Все
- '<SYSTEM32>\cacls.exe' %WINDIR%\SysWOW64\drivers\etc\hosts /E /R All
- '<SYSTEM32>\attrib.exe' -s -r -h %WINDIR%\SysWOW64\drivers\etc\hosts
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\php5ts.dll
- %TEMP%\1.tmp\chrome.bat
- %TEMP%\PSE20\87c477baaebda46f06f55dfca4353479\php.ini
- %TEMP%\RarSFX0\php.exe
- %TEMP%\RarSFX0\ext\php_osinfo.dll
- %TEMP%\RarSFX0\antiban_warface_11.exe
- %TEMP%\RarSFX0\favicon.ico
Удаляет следующие файлы:
- %TEMP%\1.tmp\chrome.bat
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- '81.##7.141.132':80
TCP:
Запросы HTTP GET:
- 81.##7.141.132/wf.txt
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
