Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES6.tmp" "%TEMP%\CSC5.tmp"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES8.tmp" "%TEMP%\CSC7.tmp"
- '<SYSTEM32>\ntvdm.exe' -f -i1
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\54yyajzd.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES2.tmp" "%TEMP%\CSC1.tmp"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\CSC5.tmp
- %WINDIR%\Temp\scs4.tmp
- %WINDIR%\Temp\scs3.tmp
- %TEMP%\RES8.tmp
- %TEMP%\CSC7.tmp
- %TEMP%\RES6.tmp
- %APPDATA%\fanta keylogger uncrypted.exe
- %TEMP%\54yyajzd.out
- %TEMP%\54yyajzd.cmdline
- %TEMP%\54yyajzd.0.cs
- %TEMP%\54yyajzd.dll
- %TEMP%\RES2.tmp
- %TEMP%\CSC1.tmp
Удаляет следующие файлы:
- %TEMP%\RES6.tmp
- %WINDIR%\Temp\scs4.tmp
- %TEMP%\CSC5.tmp
- %TEMP%\CSC7.tmp
- %TEMP%\RES8.tmp
- %WINDIR%\Temp\scs3.tmp
- %TEMP%\54yyajzd.0.cs
- %TEMP%\54yyajzd.cmdline
- %TEMP%\54yyajzd.out
- %TEMP%\CSC1.tmp
- %TEMP%\RES2.tmp
Изменяет файл HOSTS.
Самоперемещается:
- из <Полный путь к вирусу> в %APPDATA%\<Имя вируса>.exe
Другое:
Ищет следующие окна:
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-b78.b7c.3a0001'
