Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- "%TEMP%\guppy-silent.exe" (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\msiexec.exe /i "%TEMP%\WeatherBugSetup.msi" ISSILENTINSTALL=1 ISLAUNCH=1 ZCODE=Z6765 PREREG=2 REGTYPE=2 WXBUGCOMMAND=3
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\ULU3YH2D\post[1].htm
- %TEMP%\nsa2.tmp\System.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\SL6TKFAX\thankyou[1].php
- %TEMP%\out.html
- %TEMP%\WeatherBugSetup.msi
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\guppy-silent[1].exe
- %TEMP%\nsa2.tmp\inetc.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\WeatherBugSetup[1].msi
- %TEMP%\guppy-silent.exe
Удаляет следующие файлы:
- %TEMP%\nsa2.tmp\System.dll
- %TEMP%\nsa2.tmp\inetc.dll
Сетевая активность:
Подключается к:
- 'localhost':1037
- 'www.ac###games.com':80
- 'c.###rack.com':80
- 'i.###rack.com':80
TCP:
Запросы HTTP GET:
- www.ac###games.com/thankyou.php?ti########################################
- c.###rack.com/installers/WeatherBugSetup.msi
- c.###rack.com/installers/guppy-silent.exe
Запросы HTTP POST:
- i.###rack.com/leads/post
UDP:
- DNS ASK www.ac###games.com
- DNS ASK i.###rack.com
- DNS ASK c.###rack.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
