Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\wiadeblls.exe'
- '%WINDIR%\system\explore.exe'
- '<SYSTEM32>\dpull32dr.exe'
- '<SYSTEM32>\avensyst.exe' /nogui <SYSTEM32>\systemz.txt
- '%WINDIR%\wiadeblls.exe' (загружен из сети Интернет)
- '%WINDIR%\system\explore.exe' (загружен из сети Интернет)
- '<SYSTEM32>\avensyst.exe' (загружен из сети Интернет)
- '<SYSTEM32>\dpull32dr.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\system\explore.exe
- %WINDIR%\wiadeblls.exe
- <SYSTEM32>\dpull32dr.exe
- <SYSTEM32>\systemz.txt
- <SYSTEM32>\avensyst.exe
Сетевая активность:
Подключается к:
- 'up###tasnet.com':80
- 'fa#####ico.globo.com':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- up###tasnet.com/backup/winuptodate.jpg
- up###tasnet.com/backup/wor.jpg
- up###tasnet.com/backup/nsrat.jpg
- fa#####ico.globo.com/Jornalismo/FANT/0,,MUL940351-15605,00.html
- up###tasnet.com/backup/systemt.jpg
- up###tasnet.com/backup/avenger.jpg
UDP:
- DNS ASK up###tasnet.com
- DNS ASK fa#####ico.globo.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
