Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\WindowsUpdater.exe
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmp36.tmp.jpg
- %TEMP%\tmp34.tmp.jpg
- %TEMP%\tmp3A.tmp.jpg
- %TEMP%\tmp38.tmp.jpg
- %TEMP%\tmp32.tmp.jpg
- %TEMP%\tmp2C.tmp.jpg
- %TEMP%\tmp2A.tmp.jpg
- %TEMP%\tmp30.tmp.jpg
- %TEMP%\tmp2E.tmp.jpg
- %TEMP%\tmp3C.tmp.jpg
- %TEMP%\tmp4A.tmp.jpg
- %TEMP%\tmp48.tmp.jpg
- %TEMP%\tmp4E.tmp.jpg
- %TEMP%\tmp4C.tmp.jpg
- %TEMP%\tmp46.tmp.jpg
- %TEMP%\tmp40.tmp.jpg
- %TEMP%\tmp3E.tmp.jpg
- %TEMP%\tmp44.tmp.jpg
- %TEMP%\tmp42.tmp.jpg
- %TEMP%\tmp28.tmp.jpg
- %TEMP%\tmpE.tmp.jpg
- %TEMP%\tmpC.tmp.jpg
- %TEMP%\tmp12.tmp.jpg
- %TEMP%\tmp10.tmp.jpg
- %TEMP%\tmpA.tmp.jpg
- %TEMP%\tmp4.tmp.jpg
- %TEMP%\tmp2.tmp.jpg
- %TEMP%\tmp8.tmp.jpg
- %TEMP%\tmp6.tmp.jpg
- %TEMP%\tmp14.tmp.jpg
- %TEMP%\tmp22.tmp.jpg
- %TEMP%\tmp20.tmp.jpg
- %TEMP%\tmp26.tmp.jpg
- %TEMP%\tmp24.tmp.jpg
- %TEMP%\tmp1E.tmp.jpg
- %TEMP%\tmp18.tmp.jpg
- %TEMP%\tmp16.tmp.jpg
- %TEMP%\tmp1C.tmp.jpg
- %TEMP%\tmp1A.tmp.jpg
Сетевая активность:
Подключается к:
- 'st####.up-00.com':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- st####.up-00.com/2015-02/1423981266581.jpg
- wp#d/wpad.dat
UDP:
- DNS ASK st####.up-00.com
- DNS ASK wp#d
