Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\ntvdm.exe -f -i1
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\windows\homologado.exe
- %APPDATA%\drivers\rtl2108.rtl
- %WINDIR%\Temp\scs2.tmp
- %WINDIR%\Temp\scs1.tmp
- %APPDATA%\drivers\rtl9976.vxd
- %APPDATA%\drivers\rtl3264.vxd
- %APPDATA%\drivers\rtl8194.vxd
- %APPDATA%\drivers\rtl745G.vxd
- %APPDATA%\drivers\rtl256.vxd
Присваивает атрибут 'скрытый' для следующих файлов:
- <Полный путь к вирусу>
Удаляет следующие файлы:
- %WINDIR%\Temp\scs2.tmp
- %WINDIR%\Temp\scs1.tmp
Сетевая активность:
Подключается к:
- 'ca#####.chickenkiller.com':80
TCP:
Запросы HTTP GET:
- ca#####.chickenkiller.com/tereza/elemento1.swf
- ca#####.chickenkiller.com/tereza/elemento6.swf
- ca#####.chickenkiller.com/tereza/elemento3.swf
- ca#####.chickenkiller.com/up2/barra.swf
- ca#####.chickenkiller.com/tereza/elemento2.swf
- ca#####.chickenkiller.com/tereza/elemento4.swf
UDP:
- DNS ASK ca#####.chickenkiller.com
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-b78.b7c.370001'
