Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %PROGRAM_FILES%\Wsgsq\201421.jpg
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Wsgsq\4399Panel.exe
- %HOMEPATH%\Recent\Wsgsq.lnk
- C:\242281.lnk
- %PROGRAM_FILES%\Wsgsq\brun.dll
- %HOMEPATH%\Recent\201421.lnk
- %PROGRAM_FILES%\Wsgsq\nss3.dll
- %PROGRAM_FILES%\Wsgsq\201421.jpg
- C:\log.txt
- %PROGRAM_FILES%\Wsgsq\209046.xml
Перемещает следующие файлы:
- C:\242281.lnk в killmdx
Самоперемещается:
- из <Полный путь к вирусу> в C:\220750.log
Сетевая активность:
Подключается к:
- '20#.#2.206.80':6777
- '20#.#2.206.81':6777
- '20#.#2.206.74':6777
- '18#.#4.197.230':2200
- '20#.#2.206.92':6777
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: '(null)'
