Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Onflow' = '"%PROGRAM_FILES%\onflow\uninstall onflow.exe" -ofpid'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\onflow\uninstall onflow.exe -ofpid
- %PROGRAM_FILES%\Internet Explorer\PLUGINS\onflowreport.exe /Onflow?01.10.0156&2039-0&3000&#&#&#&###&0.00&0&2&0.000000&0&602&112&100&0&2825&0&255&0&### HTTP/1.0 147.208.175.70
Запускает на исполнение:
- <SYSTEM32>\regsvr32.exe /s %PROGRAM_FILES%\Internet Explorer\PLUGINS\ieonflow.dll
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\ONFLOWTESTTEMPTEMPTEMP.html
- %PROGRAM_FILES%\Internet Explorer\PLUGINS\ieonflow.dll
- %TEMP%\xxx1.tmp
- %PROGRAM_FILES%\Internet Explorer\PLUGINS\onflowreport.exe
- %PROGRAM_FILES%\Internet Explorer\PLUGINS\ONFLOWTESTTEMPTEMPTEMP.html
- %PROGRAM_FILES%\onflow\uninstall onflow.exe
- %PROGRAM_FILES%\Internet Explorer\PLUGINS\onflowplayer0.dll
- %PROGRAM_FILES%\Internet Explorer\PLUGINS\nponflow.dll
Удаляет следующие файлы:
- <SYSTEM32>\ONFLOWTESTTEMPTEMPTEMP.html
- %PROGRAM_FILES%\Internet Explorer\PLUGINS\ONFLOWTESTTEMPTEMPTEMP.html
Сетевая активность:
Подключается к:
- '14#.#08.175.70':80
- '14#.#08.175.71':80
TCP:
Запросы HTTP GET:
- 14#.#08.175.70/Onflow?01#################################################################################
- 14#.#08.175.71/cgi-bin/serialize?20####
