Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe'
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\fsg.bat" "
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\8484.tt8461
- %TEMP%\1765.ad1665
- %TEMP%\343.tt320
- %TEMP%\8531.ad8431
- %TEMP%\4656.tt4633
- %TEMP%\6875.ad6775
- %TEMP%\3593.tt3570
- %TEMP%\390.ad290
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\install[1].asp
- %TEMP%\fsg.bat
- <DRIVERS>\pcidump.txt
- %TEMP%\812.tt789
- %TEMP%\9875.tt9852
- %TEMP%\4203.ad4103
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\baidu1[1].txt
Удаляет следующие файлы:
- %TEMP%\1765.ad1665
- %TEMP%\8531.ad8431
- %TEMP%\6875.ad6775
- %TEMP%\390.ad290
- %TEMP%\fsg.bat
- <DRIVERS>\pcidump.sys
- %TEMP%\4203.ad4103
Перемещает следующие файлы:
- <DRIVERS>\pcidump.txt в <DRIVERS>\pcidump.sys
Самоудаляется.
Сетевая активность:
Подключается к:
- 'go####.googlee10.cn':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- go####.googlee10.cn/baidu1.txt
- go####.googlee10.cn/install.asp?u=######################
UDP:
- DNS ASK go####.googlee10.cn
