Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %HOMEPATH%\My Documents\Windows\winsvchost.exe -t 1 -o http://co####ron.com:8322 -u supermen.supermen -p ruskamen
- %HOMEPATH%\My Documents\Windows\winsvcs.exe
- %HOMEPATH%\My Documents\Windows\winsvchost.exe (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\My Documents\Windows\pthreadGC2.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\pthreadGC2[1].txt
- %HOMEPATH%\My Documents\Windows\libpthread-2.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\a[1].txt
- %HOMEPATH%\My Documents\Windows\libcurl-4.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\main[1].txt
- %HOMEPATH%\My Documents\Windows\winsvcs.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\libcurl-4[1].txt
- %HOMEPATH%\My Documents\Windows\winsvchost.exe
Сетевая активность:
Подключается к:
- '14#.0.36.34':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- 14#.0.36.34/l/pthreadGC2.txt
- 14#.0.36.34/l/a.txt
- 14#.0.36.34/l/main.txt
- 14#.0.36.34/l/libcurl-4.txt
