Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\BITS] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\000080.exe' (загружен из сети Интернет)
- '<SYSTEM32>\000090.exe' (загружен из сети Интернет)
- '<SYSTEM32>\000070.exe' (загружен из сети Интернет)
- '<SYSTEM32>\000050.exe' (загружен из сети Интернет)
- '<SYSTEM32>\000060.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\000080.exe'
- '<SYSTEM32>\000090.exe'
- '<SYSTEM32>\000070.exe'
- '<SYSTEM32>\000050.exe'
- '<SYSTEM32>\000060.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\BIT4.tmp
- <SYSTEM32>\BIT5.tmp
- <SYSTEM32>\BIT3.tmp
- <SYSTEM32>\BIT1.tmp
- <SYSTEM32>\BIT2.tmp
Перемещает следующие файлы:
- <SYSTEM32>\BIT4.tmp в <SYSTEM32>\000080.exe
- <SYSTEM32>\BIT5.tmp в <SYSTEM32>\000090.exe
- <SYSTEM32>\BIT3.tmp в <SYSTEM32>\000070.exe
- <SYSTEM32>\BIT1.tmp в <SYSTEM32>\000050.exe
- <SYSTEM32>\BIT2.tmp в <SYSTEM32>\000060.exe
Сетевая активность:
Подключается к:
- 'localhost':1042
- 'localhost':1043
- 'localhost':1044
- 'localhost':1041
- 'wp#d':80
- 'localhost':1039
- '80.#3.48.74':80
TCP:
Запросы HTTP GET:
- http://80.#3.48.74/wewreiyrwewerertrts/a1.exe?l=
- http://80.#3.48.74/wewreiyrwewerertrts/b2.exe?l=
- http://80.#3.48.74/wewreiyrwewerertrts/d4.exe?l=
- http://11#.#11.111.1/wpad.dat via wp#d
- http://80.#3.48.74/wewreiyrwewerertrts/vr.php?l=
- http://80.#3.48.74/wewreiyrwewerertrts/e5.exe?l=
UDP:
- DNS ASK wp#d
