Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\Adobe.lnk
- %HOMEPATH%\Start Menu\Programs\Startup\Windowsupdate.exe.lnk
- %HOMEPATH%\Start Menu\Programs\Startup\Usbport.exe
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\data\mstsc.exe' -o stratum+tcp://shaunt70.zerotest:qwerty@buyer3.myftp.org:3333 -a 1 -g yes -t 2 -T 80
- '%APPDATA%\data\calculator.exe' -o stratum+tcp://shaunt70.zerotest:qwerty@buyer3.myftp.org:3333 -g no -t 8 -T 80
- '%HOMEPATH%\Start Menu\Programs\Startup\Usbport.exe'
- '%TEMP%\RarSFX0\Windowsupdate.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\aut8.tmp
- %APPDATA%\data\phatk.cl
- %TEMP%\aut9.tmp
- %APPDATA%\data\coinutil.dll
- %TEMP%\aut7.tmp
- %APPDATA%\data\openssl.dll
- %TEMP%\autB.tmp
- %APPDATA%\data\usft_ext.dll
- %APPDATA%\data\phatk.ptx
- %TEMP%\autA.tmp
- %APPDATA%\data\miner.dll
- %TEMP%\aut6.tmp
- %TEMP%\aut2.tmp
- %APPDATA%\data\Adobe.vbs
- %APPDATA%\data\Adobe.bat
- %TEMP%\aut1.tmp
- %TEMP%\RarSFX0\Windowsupdate.exe
- %APPDATA%\data\Windowsupdate.exe
- %APPDATA%\data\calculator.exe
- %TEMP%\aut5.tmp
- %APPDATA%\data\btc.il
- %TEMP%\aut3.tmp
- %APPDATA%\data\mstsc.exe
- %TEMP%\aut4.tmp
Удаляет следующие файлы:
- %TEMP%\aut8.tmp
- %TEMP%\aut7.tmp
- %TEMP%\aut9.tmp
- %TEMP%\autB.tmp
- %TEMP%\autA.tmp
- %TEMP%\aut6.tmp
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
- %TEMP%\aut3.tmp
- %TEMP%\aut5.tmp
- %TEMP%\aut4.tmp
Сетевая активность:
Подключается к:
- 'bu####.myftp.org':3333
UDP:
- DNS ASK bu####.myftp.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
