Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\ins1.tmp accm3p_gench.tmp
Запускает на исполнение:
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://12#.##.155.219:9091/report3.ashx?m=#################################################################################
- <SYSTEM32>\expand.exe "%TEMP%\desktop_url.cab" -F:*.* "%HOMEPATH%\Desktop"
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://www.38##2.com/bhy.html?po###
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://tc.##816.com/
- <SYSTEM32>\cmd.exe /c ""%TEMP%\tmp_ext_favurl_cab.bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\run_dws_file.bat" "
- <SYSTEM32>\expand.exe "%TEMP%\favorites_url.cab" -F:*.* "%HOMEPATH%\Favorites"
- <SYSTEM32>\cmd.exe /c ""%TEMP%\tmp_ext_deskurl_cab.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Favorites\ГАЕ®АЦФ°.url
- %HOMEPATH%\Favorites\°Щ№ИµзУ°.url
- %HOMEPATH%\Favorites\°ЛШФЙ«Нј.url
- %HOMEPATH%\Favorites\ґґТµН¶ЧКєГПоДї.url
- %HOMEPATH%\Favorites\їґїґµзУ°.url
- %HOMEPATH%\Desktop\МФ±¦№єОп.url
- %HOMEPATH%\Desktop\Internet Explorer.url
- %HOMEPATH%\Desktop\°ЛШФЙ«Нј.url
- %HOMEPATH%\Desktop\ГАЕ®АЦФ°.url
- %TEMP%\ins1.tmp
- %TEMP%\run_dws_file.bat
- %TEMP%\accm3p_gench.tmp
- %PROGRAM_FILES%\Lenovo\inchar32.dat
- %TEMP%\desktop_url.cab
- %TEMP%\tmp_ext_deskurl_cab.bat
- %APPDATA%\winrar.skin.ini
- %TEMP%\favorites_url.cab
- %TEMP%\tmp_ext_favurl_cab.bat
Самоудаляется.
Сетевая активность:
Подключается к:
- 'localhost':1036
UDP:
- DNS ASK www.xu###i100.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
