Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\HTTP\shell\open\command] '' = '"%TEMP%\GoogleChrome portatil.exe" -- "%1"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\portatil.exe'
- '%TEMP%\portatil.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\phpmailer.lang-joomla[1].txt
- %TEMP%\portatil.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\sfx[1].exe
Сетевая активность:
Подключается к:
- 'www.pm###ada.com':80
- '19#.#93.112.253':80
TCP:
Запросы HTTP GET:
- www.pm###ada.com/libraries/phpmailer/language/phpmailer.lang-joomla.txt
- 19#.#93.112.253/sfx.exe
UDP:
- DNS ASK www.pm###ada.com
