Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\Server.exe'
- '<SYSTEM32>\win.exe'
- '<SYSTEM32>\MasterGC - ExpertGH.exe'
- '%TEMP%\Server.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shell32.dll,OpenAs_RunDLL <SYSTEM32>\HVMRuntm.dll
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shell32.dll,OpenAs_RunDLL <SYSTEM32>\GCMaster.dll
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\win.exe
- <SYSTEM32>\config.ini
- %TEMP%\Server.exe
- <SYSTEM32>\MasterGC - ExpertGH.exe
- <SYSTEM32>\GCMaster.dll
- <SYSTEM32>\HVMRuntm.dll
Сетевая активность:
Подключается к:
- 'wp#d':80
- 'rg##st.net':80
- 'au##.#earch.msn.com':80
- 'www.ex###tgh.com':80
- 'localhost':1039
- 'www.ga##sbr.me':80
- 'www.br###lfc.com':80
TCP:
Запросы HTTP GET:
- rg##st.net/download/60031588/2f9e5792ba8b3bcacf4bbf5a05be3bdeea099018/Server.exe
- www.ga##sbr.me/ads/links1.txt
- au##.#earch.msn.com/response.asp?MT###########################
- wp#d/wpad.dat
- www.ga##sbr.me/ads/ads2.txt
- www.br###lfc.com/
- www.ex###tgh.com/pt-br/
UDP:
- DNS ASK wp#d
- DNS ASK rg##st.net
- DNS ASK au##.#earch.msn.com
- DNS ASK www.ga##sbr.me
- DNS ASK www.br###lfc.com
- DNS ASK www.ex###tgh.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: 'GrandChase Eternal v11.03.30'
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
