Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup0' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 "%TEMP%\IXP000.TMP\"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\IXP000.TMP\BEST_B~1.EXE'
- '%TEMP%\mirc734.exe' /D=
- '%TEMP%\IXP000.TMP\mirc734.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\cc[1].php
- %WINDIR%\server.txt
- %TEMP%\Windows.lnk
- %TEMP%\nst5.tmp\NSISdl.dll
- %TEMP%\installer.html
- %TEMP%\nst5.tmp\modern-header.bmp
- %TEMP%\nst5.tmp\InstallOptions.dll
- %TEMP%\nst5.tmp\ioSpecial.ini
- %TEMP%\nst5.tmp\modern-wizard.bmp
- %TEMP%\nst5.tmp\confirm.ini
- %TEMP%\mirc734.exe
- %TEMP%\nsd4.tmp
- %TEMP%\IXP000.TMP\mirc734.exe
- %TEMP%\nsy2.tmp
- %TEMP%\nst5.tmp\mIRC.dll
- %TEMP%\nst5.tmp\System.dll
- %TEMP%\nst5.tmp\options.ini
- %TEMP%\nst5.tmp\UAC.dll
- %TEMP%\nst5.tmp\AccessControl.dll
Удаляет следующие файлы:
- %TEMP%\installer.html
- %WINDIR%\server.txt
- %TEMP%\Windows.lnk
Сетевая активность:
Подключается к:
- 'www.mi##.com':80
- 'ms##.kirara.st':80
TCP:
Запросы HTTP GET:
- www.mi##.com/installer.html?ve#########
- ms##.kirara.st/sqlite/SQliteManager/plugins/MySQL_Import/cc.php
UDP:
- DNS ASK www.mi##.com
- DNS ASK ms##.kirara.st
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
