Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\mas2.tmp 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
- <SYSTEM32>\u2\xi6789UP.exe
- %TEMP%\mas2.tmp (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c ""%TEMP%\bat4.tmp.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\rp[1].txt
- %TEMP%\v3.tmp
- %TEMP%\bat4.tmp.bat
- <SYSTEM32>\u2\xi6789UP.exe
- C:\Temp\1cb\syscheck.log
- %TEMP%\mas2.tmp
Удаляет следующие файлы:
- <SYSTEM32>\u2\xi6789UP.exe
- %TEMP%\v3.tmp
Сетевая активность:
Подключается к:
- 'bu######t.waverevenue.com':80
- 'localhost':1037
- 'as###.wwlax.com':80
TCP:
Запросы HTTP GET:
- bu######t.waverevenue.com/rp.txt?ve###########################################################
- as###.wwlax.com/get_frst.php?ui######################################
UDP:
- DNS ASK bu######t.waverevenue.com
- DNS ASK as###.wwlax.com
