Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %CommonProgramFiles%\carss.exe "%CommonProgramFiles%\file.AAA" rukou
Запускает на исполнение:
- <SYSTEM32>\xcopy.exe /y c:\gpt.txt <SYSTEM32>\GroupPolicy
- <SYSTEM32>\xcopy.exe /y c:\computer.txt <SYSTEM32>\GroupPolicy\Machine\Scripts
- <SYSTEM32>\gpupdate.exe /force
- %WINDIR%\regedit.exe /s C:\1.reg
- <SYSTEM32>\cscript.exe "%TEMP%\360safe.vbs"
- <SYSTEM32>\cmd.exe /c ""%PROGRAM_FILES%\sys.bat" "
Принудительно разрешает автозапуск со съемных носителей.
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\GroupPolicy\gpt.txt
- C:\computer.txt
- C:\gpt.txt
- %WINDIR%\window.txt
- %HOMEPATH%\ntuser.pol
- <SYSTEM32>\GroupPolicy\Machine\Scripts\computer.txt
- %CommonProgramFiles%\carss.exe
- %TEMP%\360safe.vbs
- C:\1.reg
- %PROGRAM_FILES%\sys.bat
- %TEMP%\140546_res.tmp
- %TEMP%\132765_res.tmp
Удаляет следующие файлы:
- <SYSTEM32>\GroupPolicy\gpt.ini
- C:\gpt.txt
- C:\1.reg
- %TEMP%\360safe.vbs
Самоперемещается:
- из <Полный путь к вирусу> в %CommonProgramFiles%\SqlServer.exe
Сетевая активность:
Подключается к:
- 'a2####4175.3322.org':168
UDP:
- DNS ASK a2####4175.3322.org
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
