Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\qpop9109.exe (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\regsvr32.exe /s %WINDIR%\qpop5638.dll
- <SYSTEM32>\regsvr32.exe /s qpop8397.ocx
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\ULU3YH2D\cadastro[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\SL6TKFAX\img3[1].jpg
- %WINDIR%\qpop9109.exe
- %WINDIR%\qpop5638.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\galho[1].jpg
- <SYSTEM32>\qpop8397.ocx
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\personal[1].jpg
Сетевая активность:
Подключается к:
- 'pe#####lcarl.cwsurf.de':80
- 'ai####011.hdfree.in':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- ai####011.hdfree.in/users/img3.jpg
- ai####011.hdfree.in/users/personal.jpg
- ai####011.hdfree.in/users/galho.jpg
Запросы HTTP POST:
- pe#####lcarl.cwsurf.de/cadastro.php
UDP:
- DNS ASK pe#####lcarl.cwsurf.de
- DNS ASK ai####011.hdfree.in
