Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\~!09wte09.tmp'
- '%TEMP%\~!09wxe09.tmp'
- '%TEMP%\~!09wee09.tmp'
- '%TEMP%\~!0958e09.tmp'
- '%TEMP%\~!09wte09.tmp' (загружен из сети Интернет)
- '%TEMP%\~!09wxe09.tmp' (загружен из сети Интернет)
- '%TEMP%\~!0958e09.tmp' (загружен из сети Интернет)
- '%TEMP%\~!09wee09.tmp' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\~!09wee09.tmp
- %TEMP%\~!09wxe09.tmp
- %TEMP%\~!09wte09.tmp
- <SYSTEM32>\DNFkim.ime
- <SYSTEM32>\NANA.dll
- %TEMP%\~!0958e09.tmp
Сетевая активность:
Подключается к:
- 'www.dn##1.com':80
- 'www.ru###520.com':80
- 'www.yy##f.com':80
- 'localhost':1038
- 'www.dn##an.com':80
TCP:
Запросы HTTP GET:
- www.ru###520.com/
- www.ru###520.com/gg.html
- www.dn##1.com/gg/nanagb.htm
- www.ru###520.com/gg2.html
- www.ru###520.com/37.html
- www.yy##f.com/nana/4.bin
- www.yy##f.com/nana/2.bin
- www.yy##f.com/nana/1.bin
- www.dn##an.com/nana.htm
- www.yy##f.com/nana/3.bin
- www.dn##1.com/gg/nana2.htm
UDP:
- DNS ASK www.dn##1.com
- DNS ASK www.ru###520.com
- DNS ASK www.dn##an.com
- DNS ASK www.yy##f.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'CicLoaderWndClass' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
