Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /T /F /IM SecuCurr.exe
- '<SYSTEM32>\taskkill.exe' /T /F /IM SecuCurr.new.exe
- '<SYSTEM32>\taskkill.exe' /T /F /IM SecuCurrWorker*
- '<SYSTEM32>\msiexec.exe' /i "<LS_APPDATA>\Downloaded Installations\{E1C266FD-5659-4EAA-A160-965B5D660E19}\SecuCurrSetup.msi" SETUPEXEDIR="<Текущая директория>" SETUPEXENAME="<Имя вируса>.exe"
- '<SYSTEM32>\msiexec.exe' /V
- '<SYSTEM32>\msiexec.exe' -Embedding 56E98E717DDC1881D463E7DF25E4F5B2 C
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\_is6..dll
- %TEMP%\{CCAF9639-F464-4F46-9E52-2F04DC15695D}\SecuCurrSetup.msi
- %TEMP%\_is5..dll
- %TEMP%\{CCAF9639-F464-4F46-9E52-2F04DC15695D}\Windows Installer 3.1 for Windows Server 2003 SP1 (x64).prq
- <LS_APPDATA>\Downloaded Installations\{E1C266FD-5659-4EAA-A160-965B5D660E19}\SecuCurrSetup.msi
- %TEMP%\31649.msi
- %TEMP%\MSI8.tmp
- %TEMP%\~7.tmp
- %TEMP%\MSI31648.LOG
- %TEMP%\{CCAF9639-F464-4F46-9E52-2F04DC15695D}\Windows Installer 3.1 for Windows Server 2003 SP1 (x86).prq
- %TEMP%\{CCAF9639-F464-4F46-9E52-2F04DC15695D}\0x0409.ini
- %TEMP%\~1.tmp
- %TEMP%\{CCAF9639-F464-4F46-9E52-2F04DC15695D}\Setup.INI
- %TEMP%\{CCAF9639-F464-4F46-9E52-2F04DC15695D}\_ISMSIDEL.INI
- %TEMP%\~2.tmp
- %TEMP%\{CCAF9639-F464-4F46-9E52-2F04DC15695D}\Windows Installer 3.1 for Windows XP (x64).prq
- %TEMP%\_is4..dll
- %TEMP%\{CCAF9639-F464-4F46-9E52-2F04DC15695D}\Windows Installer 3.1 (x86).prq
- %TEMP%\_is3..dll
Удаляет следующие файлы:
- %TEMP%\_is6..dll
- %TEMP%\_is5..dll
- %TEMP%\MSI8.tmp
- %TEMP%\~7.tmp
- %TEMP%\~2.tmp
- %TEMP%\~1.tmp
- %TEMP%\_is4..dll
- %TEMP%\_is3..dll
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
