Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /C CD /D "%HOMEPATH%\Local Settings\Temp" & PING 1.1.1.1 -n 1 -w 2000 & RMDIR /S /Q "%TEMP%\x2ico.Updater"
- '<SYSTEM32>\ping.exe' 1.1.1.1 -n 1 -w 2000
- '%TEMP%\x2ico.Updater\x2ico.Updater.exe' "/AppPath:<Текущая директория>\x2ico\x2ico.exe" "/AppTitle:x2ico" "/AppV:1.2.3.6" "/ReportBack:0" "/RunAppAfter:1" "/AppTempFldr:%TEMP%\x2ico.2876"
- '<SYSTEM32>\ping.exe' www.google.com -n 1
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\2Gwty[1]
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\U98D4X8H\dkT4w[1]
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\IkLD5[1]
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\YPORKZYZ\4rd2A[1]
- %TEMP%\x2ico.Updater\x2ico.Updater.exe
- <Текущая директория>\x2ico\x2ico.ini
- %TEMP%\x2ico.Updater\VersionFile
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\Jzs2K[1]
Удаляет следующие файлы:
- %TEMP%\x2ico.Updater\x2ico.Updater.exe
- %TEMP%\x2ico.Updater\VersionFile
Подменяет следующие файлы:
- %TEMP%\x2ico.Updater\VersionFile
Самоперемещается:
- из <Текущая директория>\x2ico.exe в <Текущая директория>\x2ico\x2ico.exe
- из <Полный путь к файлу> в <Текущая директория>\x2ico.exe
Сетевая активность:
Подключается к:
- 'go#.gl':80
- 'localhost':1038
TCP:
Запросы HTTP GET:
- http://go#.gl/4rd2A
- http://go#.gl/IkLD5
- http://go#.gl/2Gwty
- http://go#.gl/Jzs2K
- http://go#.gl/dkT4w
UDP:
- DNS ASK go#.gl
- DNS ASK www.google.com
Другое:
Ищет следующие окна:
- ClassName: '#32771' WindowName: ''
- ClassName: 'AutoHotkey' WindowName: '%TEMP%\x2ico.Updater\x2ico.Updater.exe'
- ClassName: 'Shell_TrayWnd' WindowName: ''
