Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\AV2014822163712_wanso_ss_55656.exe'
- '%TEMP%\ffdy2014822163712.exe'
- '%TEMP%\aisu2014822163712wqs.exe'
- '%TEMP%\ffdy2014822163712.exe' (загружен из сети Интернет)
- '%TEMP%\aisu2014822163712wqs.exe' (загружен из сети Интернет)
- '%TEMP%\AV2014822163712_wanso_ss_55656.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\ffdy2014822163712.exe
- %TEMP%\AV2014822163712_wanso_ss_55656.exe
- %TEMP%\aisu2014822163712wqs.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'cp#.2su.cc':80
- 'ap###wn.2su.cc':80
TCP:
Запросы HTTP GET:
- ap###wn.2su.cc/32so.php
- ap###wn.2su.cc/ffdy.php
- ap###wn.2su.cc/tan.php
- ap###wn.2su.cc/cpa.php
Запросы HTTP POST:
- cp#.2su.cc/interface.php?s=################
UDP:
- DNS ASK cp#.2su.cc
- DNS ASK ap###wn.2su.cc
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'ffdy2014822163712.exe'
- ClassName: '' WindowName: 'Microsoft Internet Explorer'
