Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\WinRAR\Rar.exe e -y -ping %WINDIR%\web\printers\718\ok.rar "%PROGRAM_FILES%\718\" (загружен из сети Интернет) e -y -ping %WINDIR%\web\printers\718\11.rar %WINDIR%\web\printers\718\
Запускает на исполнение:
- <SYSTEM32>\wscript.exe "%PROGRAM_FILES%\rar.vbs" //B
- <SYSTEM32>\wscript.exe "%PROGRAM_FILES%\11.vbs" //B
- <SYSTEM32>\ping.exe www.ba##u.com -n 5
- <SYSTEM32>\ping.exe 127.0.0.1 -n 2
- <SYSTEM32>\cmd.exe /c %WINDIR%\web\printers\718\125.bat
- <SYSTEM32>\taskkill.exe /f /t /im ksafetray.exe
- <SYSTEM32>\cmd.exe /c %WINDIR%\11a.bat
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\WinRAR\Rar.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\rar[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\07d7cf3a1d48d247b9998fd9[1].jpg
- %WINDIR%\Web\printers\718\md5.txt
- %WINDIR%\Web\printers\718\11.rar
- %PROGRAM_FILES%\ww.vbs
- %PROGRAM_FILES%\11.vbs
- %PROGRAM_FILES%\rar.vbs
- %WINDIR%\11a.bat
- %WINDIR%\Web\printers\718\125.bat
Удаляет следующие файлы:
- %PROGRAM_FILES%\11.vbs
- %PROGRAM_FILES%\rar.vbs
Самоудаляется.
Сетевая активность:
Подключается к:
- 'localhost':1039
- 'hi####os.baidu.com':80
- 'localhost':1037
- 'www.8s##a.cn':80
TCP:
Запросы HTTP GET:
- hi####os.baidu.com/8sina%C9%E7%C7%F8/pic/item/07d7cf3a1d48d247b9998fd9.jpg
- www.8s##a.cn/soft/rar.jpg
UDP:
- DNS ASK www.ba##u.com
- DNS ASK hi####os.baidu.com
- DNS ASK www.8s##a.cn
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
