Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\dmisetup.exe'
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\dmisetup.exe
- %TEMP%\dmiB03A.tmp
Удаляет следующие файлы:
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- <SYSTEM32>\PerfStringBackup.TMP
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\checkip.dyndns[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\mut103[1].png
Самоудаляется.
Сетевая активность:
Подключается к:
- 'en#####ndaexpress.com':80
- 'lo###deouro.com':80
- 'ch####p.dyndns.org':80
TCP:
Запросы HTTP GET:
- http://en#####ndaexpress.com/es/images/mut103.png
- http://LO###DEOURO.com/wp-includes/images/mut103.png via lo###deouro.com
- http://ch####p.dyndns.org/
UDP:
- DNS ASK en#####ndaexpress.com
- DNS ASK lo###deouro.com
- DNS ASK ch####p.dyndns.org
