Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\1.tmp\zom.EXE'
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' InetCpl.cpl,ClearMyTracksByProcess 2
- '<SYSTEM32>\rundll32.exe' InetCpl.cpl,ClearMyTracksByProcess 8
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\zomboz.bat" "
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\1.tmp\FapCF2.dll
- %TEMP%\1.tmp\zomboz.bat
- %TEMP%\1.tmp\zom.EXE
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\likecf12.blogspot[2]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\likecf12.blogspot[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\likecf12.blogspot[1]
- %TEMP%\1.tmp\zom.EXE
- %TEMP%\1.tmp\FapCF2.dll
- %TEMP%\1.tmp\zomboz.bat
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- '93.##8.134.11':80
- 'li#####2.blogspot.com':80
- 'localhost':1037
- 'an####b.zapto.org':80
TCP:
Запросы HTTP GET:
- li#####2.blogspot.com/
- 93.##8.134.11/
- an####b.zapto.org/
UDP:
- DNS ASK li#####2.blogspot.com
- DNS ASK yandex.ru
- DNS ASK an####b.zapto.org
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
