Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\qigh.exe'
- '<SYSTEM32>\usrhd.exe' hubtg
- '<SYSTEM32>\hubtg.exe'
- '<SYSTEM32>\bcusaxs.exe' hubtg
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nst5.tmp\AccessControl.dll
- %TEMP%\nst5.tmp\ShellLink.dll
- <SYSTEM32>\tsmfl.dll
- %TEMP%\nst5.tmp\System.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\homepagepic[1].aspx
- <SYSTEM32>\tslablec.ini
- <SYSTEM32>\Log\Install.log
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Жф¶ЇдЇААЖч.lnk
- <Текущая директория>\perffilt.ini
- %TEMP%\nss2.tmp\AccessControl.dll
- %TEMP%\nss2.tmp\System.dll
- %TEMP%\~TMP32BF.tmp
- <SYSTEM32>\Launch_IE.exe
- <SYSTEM32>\ClearTemp.exe
- <SYSTEM32>\Launcher.exe
- <SYSTEM32>\IEMon.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\usrhd.exe
- <SYSTEM32>\cdpug.dll
- <SYSTEM32>\Log\Install.log
- <SYSTEM32>\qigh.exe
- %TEMP%\~TMP32BF.tmp
- <SYSTEM32>\hubtg.exe
- <SYSTEM32>\bcusaxs.exe
Удаляет следующие файлы:
- %TEMP%\nst5.tmp\ShellLink.dll
- %TEMP%\nst5.tmp\System.dll
- %TEMP%\nst5.tmp\AccessControl.dll
- %TEMP%\nss2.tmp\AccessControl.dll
- %TEMP%\nss2.tmp\System.dll
Перемещает следующие файлы:
- <SYSTEM32>\ClearTemp.exe в <SYSTEM32>\usrhd.exe
- <SYSTEM32>\tsmfl.dll в <SYSTEM32>\cdpug.dll
- <SYSTEM32>\Launch_IE.exe в <SYSTEM32>\qigh.exe
- <SYSTEM32>\Launcher.exe в <SYSTEM32>\hubtg.exe
- <SYSTEM32>\IEMon.exe в <SYSTEM32>\bcusaxs.exe
Сетевая активность:
Подключается к:
- 'co####.netbarad.net':80
TCP:
Запросы HTTP GET:
- co####.netbarad.net/homepagepic.aspx?us###############################
UDP:
- DNS ASK co####.netbarad.net
