Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\DIQM\FlashPlayer_157\<Имя вируса>.exe' /path="<Полный путь к вирусу>"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\DIQM\FlashPlayer_157\config.dll
- %TEMP%\DIQM\FlashPlayer_157\routes.dll
- %WINDIR%\SoftwareDistribution\DataStore\Logs\tmp.edb
- %TEMP%\DIQM\FlashPlayer_157\DomaIQ.exe
- %TEMP%\nskED6B.tmp
- %TEMP%\DIQM\FlashPlayer_157\<Имя вируса>.exe
- %TEMP%\DIQM\FlashPlayer_157\DomaIQ10.exe
Удаляет следующие файлы:
- %TEMP%\DIQM\FlashPlayer_157\DomaIQ10.exe
- %TEMP%\DIQM\FlashPlayer_157\DomaIQ.exe
Сетевая активность:
Подключается к:
- 'download.windowsupdate.com':80
- '20#.#6.232.182':80
- 'dt####.secdls.com':80
- 'ap#.##.secdls.com':80
TCP:
Запросы HTTP GET:
- dt####.secdls.com/debugNsis/trace/DownloadRequisitesFinish
- dt####.secdls.com/debugNsis/TraceErrors/RecievingXml
- dt####.secdls.com/debugNsis/trace/EndLoading
- dt####.secdls.com/debugNsis/trace/ReadyState
- dt####.secdls.com/debugNsis/trace/GetBinaryData
- dt####.secdls.com/debugNsis/trace/Start
- ap#.##.secdls.com/index.php/api/157/FlashPlayer/415/526/English.xml
- dt####.secdls.com/debugNsis/trace/GetXmlDataRequisites
UDP:
- DNS ASK do#####d.microsoft.com
- DNS ASK www.up####.microsoft.com
- DNS ASK dn#.##ftncsi.com
- DNS ASK dt####.secdls.com
- DNS ASK ap#.##.secdls.com
- DNS ASK download.windowsupdate.com
Другое:
Ищет следующие окна:
- ClassName: 'OleMainThreadWndClass' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
