Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\kupan\Йэј¶іМРт.exe'
- '%PROGRAM_FILES%\kupan\Brmas_pc[bsfnqr].exe'
Запускает на исполнение:
- '<SYSTEM32>\find.exe' /i "windows xp"
- '<SYSTEM32>\find.exe' /i "windows 7"
- '<SYSTEM32>\wbem\wmic.exe' os get Caption/value
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\Read1
- %TEMP%\tmp4.tmp
- <SYSTEM32>\wbem\AutoRecover\C8463ECBE33BC240263A0B094E46D510.mof
- <SYSTEM32>\wbem\AutoRecover\23BDE61F1F4FACE17E9B0C01F2A1FD9B.mof
- %TEMP%\tmp5.tmp
- %TEMP%\tmp3.tmp
- %PROGRAM_FILES%\kupan\Йэј¶іМРт.exe
- %PROGRAM_FILES%\kupan\Brmas_pc[bsfnqr].exe
- %TEMP%\CheckList.dll
- %TEMP%\2868C807.bat
- %TEMP%\nsv2.tmp\System.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\2868C807.bat
Удаляет следующие файлы:
- %TEMP%\tmp5.tmp
- %TEMP%\tmp4.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\2[1].3updata
- %TEMP%\2868C807.bat
- %TEMP%\tmp3.tmp
- %TEMP%\nsv2.tmp\System.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\2[1].3updata
- <Текущая директория>\Read1
Сетевая активность:
Подключается к:
- 'www.87###2894.com':80
TCP:
Запросы HTTP GET:
- www.87###2894.com/mokuai/2.3updata
UDP:
- DNS ASK www.87###2894.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
