Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\kick_me.exe'
- 'C:\Settings\Device Config.exe'
- '<Текущая директория>\зfصнwn.exe'
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESA2F3.tmp" "%TEMP%\vbcA2D3.tmp"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' /noconfig @"%TEMP%\yiomgayb.cmdline"
Изменения в файловой системе:
Создает следующие файлы:
- C:\Settings\info.txt
- C:\Settings\setting\guide.txt
- C:\Settings\sign231.txt
- C:\Settings\data\182.exe
- C:\Settings\setting\power.txt
- %TEMP%\kill_it.txt
- %APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Configuration.lnk
- C:\Settings\setting\gap.txt
- %TEMP%\kick_me.exe
- C:\Settings\Device Config.exe
- %TEMP%\yiomgayb.out
- %TEMP%\vbcA2D3.tmp
- %TEMP%\yiomgayb.0.vb
- %TEMP%\yiomgayb.cmdline
- %TEMP%\RESA2F3.tmp
- <Текущая директория>\data.txt
- <Текущая директория>\minerd.exe
- <Текущая директория>\зfصнwn.exe
- <Текущая директория>\data.zip
Удаляет следующие файлы:
- %TEMP%\yiomgayb.out
- %TEMP%\yiomgayb.cmdline
- <Текущая директория>\зfصнwn.exe
- %TEMP%\RESA2F3.tmp
- %TEMP%\vbcA2D3.tmp
- %TEMP%\yiomgayb.0.vb
Сетевая активность:
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK www.google.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
