Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'fire' = '<ANALYSE_DIR>.bat'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'windows' = 'C:\Arquivos de programas\Mozilla Firefox\fire.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '%USERNAME%' = '<Полный путь к вирусу>'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'fire3' = '%ProgramFiles%\Mozilla Firefox\fire.exe'
Вредоносные функции:
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
- opera.exe
- chrome.exe
- safari.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\arquivo.txt
- %WINDIR%\arquivo.bak
- <ANALYSE_DIR>.bat
- %WINDIR%\iniciar.txt
- %ProgramFiles%\Mozilla Firefox\fire.exe
Сетевая активность:
Подключается к:
- 'ba#####avisa.ueuo.com':80
TCP:
Запросы HTTP POST:
- http://ba#####avisa.ueuo.com/aviso.php
UDP:
- DNS ASK ba#####avisa.ueuo.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Gerenciador de Tarefas do Windows'
- ClassName: 'Indicator' WindowName: ''
