Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\FrWall.exe'
- '%WINDIR%\FrWall.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c C:\autodel.bat
- '<SYSTEM32>\taskkill.exe' /f /im ashMaiSv.exe /im McShield.exe /im oasclnt.exe /im mcagent.exe /im McVSEscn.exe /im mcvsftsn.exe /im Mcdetect.exe /im McTskshd.exe /im mcvsshld.exe
Изменения в файловой системе:
Создает следующие файлы:
- C:\autodel.bat
- C:\Arquivos de programas\Internet Explorer\6.5\msiexecc.exe
- %WINDIR%\FrWall.exe
Сетевая активность:
Подключается к:
- 'vo####re.iespana.es':80
- 'localhost':1038
TCP:
Запросы HTTP GET:
- vo####re.iespana.es/msiexecc.jpg
- vo####re.iespana.es/FrWall.jpg
UDP:
- DNS ASK vo####re.iespana.es
Другое:
Ищет следующие окна:
- ClassName: 'aswDispMainWndClass' WindowName: ''
- ClassName: 'vBBubbleRT6' WindowName: ''
- ClassName: 'OleDdeWndClass' WindowName: ''
- ClassName: 'AavmMessageClass' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'AavmMessage' WindowName: ''
- ClassName: 'aswVrdbWndClass' WindowName: ''
- ClassName: 'VBMsoStdCmpMgr' WindowName: ''
- ClassName: 'ccAppWindow' WindowName: ''
- ClassName: 'CCALERT_IMALERTMGR_WINDOW' WindowName: ''
- ClassName: 'DefAlert_className_29DABAC8-A' WindowName: ''
- ClassName: 'NAVAP Wnd Class' WindowName: ''
- ClassName: 'ThunderRT6FormDC' WindowName: ''
- ClassName: 'ThunderRT6Main' WindowName: ''
- ClassName: '' WindowName: 'Proactive Defense Warning'
