Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\rest.rar
- %WINDIR%\Fonts\csrss.exe
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c %TEMP%\7056.bat
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\altio.rar
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\altio[1].rar
- <SYSTEM32>\rest.rar
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\rest[1].rar
- %TEMP%\7056.bat
- %WINDIR%\Fonts\csrss.exe
- <SYSTEM32>\unrar.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\unrar[1].exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'mu####a.mu.ohost.de':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- mu####a.mu.ohost.de/wbb2/acp/templates/rest.rar
- mu####a.mu.ohost.de/wbb2/acp/templates/altio.rar
- mu####a.mu.ohost.de/wbb2/acp/templates/unrar.exe
UDP:
- DNS ASK mu####a.mu.ohost.de
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: ''
