Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{83dec3a4-76c0-448e-b31c-c743c73e48b8}] 'StubPath' = '%windir%\bot3.exe'
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{188750f5-0817-43d4-a1ba-5a1905e025b7}] 'StubPath' = '%windir%\bot2.exe'
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{f3637a68-53c0-4b3a-b0d1-fadc3743151f}] 'StubPath' = '%windir%\Bot.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\setup[1].exe
- %WINDIR%\bot3.exe
- C:\autorun.inf
- %WINDIR%\bot2.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\yCYP5[1].exe
- %WINDIR%\Bot.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\r6rj6[1].exe
Сетевая активность:
Подключается к:
- 'ir##e.info':80
- '95.##0.192.110':80
- 'sn###firm.com':80
TCP:
Запросы HTTP GET:
- ir##e.info/setup.exe
- 95.##0.192.110/r6rj6.exe
- sn###firm.com/yCYP5.exe
UDP:
- DNS ASK ir##e.info
- DNS ASK sn###firm.com
