Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\SETUP_37660\Engine.exe' /TH_ID=_2692 /OriginExe="<Полный путь к вирусу>"
Запускает на исполнение:
- '<SYSTEM32>\taskhost.exe' $(Arg0)
- '<SYSTEM32>\conhost.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\SETUP_37660\00014#purple-ruler.bmp
- %TEMP%\SETUP_37660\00015#remote.ini
- %TEMP%\SETUP_37660\00016#script.ini
- %TEMP%\SETUP_37660\00013#popups.ini
- %TEMP%\SETUP_37660\00010#mirc.dll
- %TEMP%\SETUP_37660\00011#mIRC.exe
- %TEMP%\SETUP_37660\00012#Mirc.ini
- %TEMP%\SETUP_37660\00017#servers.ini
- C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_80070422_76a4385aa7fdcd3dc476f7ea51e8ea5565f02fd_0bc51d6f\Report.wer
- C:\ProgramData\Microsoft\RAC\Temp\sql2136.tmp
- C:\ProgramData\Microsoft\RAC\Temp\sql2156.tmp
- %WINDIR%\Temp\MPTelemetrySubmit\watson_manifest.txt
- %TEMP%\SETUP_37660\00018#Wep4util.dll
- %TEMP%\SETUP_37660\00019#zurnachat.ico
- %WINDIR%\Temp\MPTelemetrySubmit\client_manifest.txt
- %TEMP%\SETUP_37660\00009#Mario.exe
- %TEMP%\SETUP_37660\Modern_Icon.bmp
- %TEMP%\SETUP_37660\Turkish.lng
- %TEMP%\SETUP_37660\00000#aliases.ini
- %TEMP%\SETUP_37660\Modern_Setup.bmp
- %TEMP%\SETUP_37660\Engine.exe
- %TEMP%\SETUP_37660\Setup.txt
- %TEMP%\SETUP_37660\yeni.qsp
- %TEMP%\SETUP_37660\00001#back.JPG
- %TEMP%\SETUP_37660\00006#logo.bmp
- %TEMP%\SETUP_37660\00007#logo.gif
- %TEMP%\SETUP_37660\00008#logo.JPG
- %TEMP%\SETUP_37660\00005#Jezzball.exe
- %TEMP%\SETUP_37660\00002#control.ini
- %TEMP%\SETUP_37660\00003#Dash.exe
- %TEMP%\SETUP_37660\00004#acilis.mrc
Удаляет следующие файлы:
- %WINDIR%\Temp\MPTelemetrySubmit\client_manifest.txt
- %WINDIR%\Temp\MPTelemetrySubmit\watson_manifest.txt
Сетевая активность:
Подключается к:
- '20#.#6.232.182':80
UDP:
- DNS ASK wa####.microsoft.com
- '22#.0.0.252':5355
