Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\pwdbakhe.exe'
- '<SYSTEM32>\cdnlauyt.exe'
- '<SYSTEM32>\zuxfmhbn.exe'
- '<SYSTEM32>\krtenhyw.exe'
- '<SYSTEM32>\icditdmv.exe'
- '<SYSTEM32>\knglczgl.exe'
- '<SYSTEM32>\opwwarbi.exe' /R /T
- '<SYSTEM32>\otygxujg.exe'
- '<SYSTEM32>\zsjxkmaf.exe'
- '<SYSTEM32>\iicnutwk.exe'
- '<SYSTEM32>\hzovnzsp.exe'
- '<SYSTEM32>\vmfdlkvs.exe'
- '<SYSTEM32>\klzleumh.exe'
- '<SYSTEM32>\xtmtjvor.exe'
- '<SYSTEM32>\atgferbu.exe'
- '<SYSTEM32>\opwwarbi.exe'
- '<SYSTEM32>\vpilauim.exe'
- '<SYSTEM32>\zjaikdfi.exe'
- '<SYSTEM32>\yifqfbuw.exe'
- '<SYSTEM32>\wppbahex.exe'
- '<SYSTEM32>\rbsnxqya.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\zuxfmhbn.exe
- <SYSTEM32>\pwdbakhe.exe
- <SYSTEM32>\icditdmv.exe
- <SYSTEM32>\hzovnzsp.exe
- <SYSTEM32>\krtenhyw.exe
- <SYSTEM32>\cdnlauyt.exe
- C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\fifo.log
- <SYSTEM32>\knglczgl.exe
- <SYSTEM32>\otygxujg.exe
- <SYSTEM32>\zsjxkmaf.exe
- <SYSTEM32>\iicnutwk.exe
- <SYSTEM32>\zjaikdfi.exe
- <SYSTEM32>\opwwarbi.exe
- <SYSTEM32>\xtmtjvor.exe
- <SYSTEM32>\atgferbu.exe
- <SYSTEM32>\MSWINSCK.ocx
- <SYSTEM32>\vmfdlkvs.exe
- <SYSTEM32>\yifqfbuw.exe
- <SYSTEM32>\vpilauim.exe
- <SYSTEM32>\rbsnxqya.exe
- <SYSTEM32>\klzleumh.exe
- <SYSTEM32>\wppbahex.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\zuxfmhbn.exe
- <SYSTEM32>\pwdbakhe.exe
- <SYSTEM32>\icditdmv.exe
- <SYSTEM32>\hzovnzsp.exe
- <SYSTEM32>\krtenhyw.exe
- <SYSTEM32>\otygxujg.exe
- <SYSTEM32>\knglczgl.exe
- <SYSTEM32>\iicnutwk.exe
- <SYSTEM32>\cdnlauyt.exe
- <SYSTEM32>\zsjxkmaf.exe
- <SYSTEM32>\vmfdlkvs.exe
- <SYSTEM32>\klzleumh.exe
- <SYSTEM32>\xtmtjvor.exe
- <SYSTEM32>\atgferbu.exe
- <SYSTEM32>\opwwarbi.exe
- <SYSTEM32>\vpilauim.exe
- <SYSTEM32>\zjaikdfi.exe
- <SYSTEM32>\yifqfbuw.exe
- <SYSTEM32>\wppbahex.exe
- <SYSTEM32>\rbsnxqya.exe
Удаляет следующие файлы:
- %TEMP%\~DF11CB.tmp
- %TEMP%\~DFD7F9.tmp
- %TEMP%\~DF51F5.tmp
- %TEMP%\~DFF028.tmp
- %TEMP%\~DFB055.tmp
- %TEMP%\~DFBFAD.tmp
- %TEMP%\~DF8005.tmp
- %TEMP%\~DFF961.tmp
- %TEMP%\~DF9777.tmp
- %TEMP%\~DF3A09.tmp
- %TEMP%\~DF2A7D.tmp
- %TEMP%\~DF2176.tmp
- %TEMP%\~DFE11A.tmp
- %TEMP%\~DF5B35.tmp
- %TEMP%\~DFF9CB.tmp
- %TEMP%\~DFB07C.tmp
- %TEMP%\~DFC8D4.tmp
- %TEMP%\~DF6AD4.tmp
- %TEMP%\~DF94E.tmp
- %TEMP%\~DF8354.tmp
- %TEMP%\~DF42BC.tmp
- %TEMP%\~DF60C0.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\mswinsck[1].ocx
- %TEMP%\~DF931E.tmp
- %TEMP%\~DF3846.tmp
- %TEMP%\~DFD96B.tmp
- %TEMP%\~DF77C6.tmp
- %TEMP%\~DF35F2.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\mswinsck[1].ocx
- %TEMP%\~DFB62.tmp
- %TEMP%\~DFC13C.tmp
- %TEMP%\~DF782A.tmp
- %TEMP%\~DF6821.tmp
- %TEMP%\~DF8B5.tmp
- %TEMP%\~DFA7A8.tmp
- %TEMP%\~DF207B.tmp
- %TEMP%\~DFE1E8.tmp
- %TEMP%\~DFF13A.tmp
- %TEMP%\~DFB22E.tmp
- %TEMP%\~DF5063.tmp
- %TEMP%\~DFCA06.tmp
- %TEMP%\~DF9047.tmp
Сетевая активность:
Подключается к:
- 'localhost':1064
- 'localhost':1066
- 'localhost':1062
- 'localhost':1058
- 'localhost':1060
- 'localhost':1068
- 'localhost':1076
- 'localhost':1078
- 'localhost':1074
- 'localhost':1070
- 'localhost':1072
- 'localhost':1042
- 'localhost':1044
- 'localhost':1040
- 'localhost':1037
- 'pd###.egloos.com':80
- 'localhost':1046
- 'localhost':1054
- 'localhost':1056
- 'localhost':1052
- 'localhost':1048
- 'localhost':1050
TCP:
Запросы HTTP GET:
- pd###.egloos.com/pds/201304/27/64/mswinsck.ocx
UDP:
- DNS ASK pd###.egloos.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
