Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\nvtrak.exe'
- 'C:\qijianfz.vmp.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\p[1].aspx
- %TEMP%\hm2path.tmp
- %PROGRAM_FILES%\Gesu.data
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\host[1].txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\host[1].txt
- %TEMP%\4.tmp
- C:\nvtrak.exe
- C:\qijianfz.vmp.exe
- C:\WMIDLL.dll
- %TEMP%\3.tmp
- %TEMP%\2.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\WMIDLL.dll
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\host[1].txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\host[1].txt
- %TEMP%\4.tmp
- %TEMP%\2.tmp
- %TEMP%\3.tmp
Сетевая активность:
Подключается к:
- '36#.#5ge.com':80
- 'ad####8.95ge.com':80
TCP:
Запросы HTTP GET:
- 36#.#5ge.com/host.txt
- ad####8.95ge.com/p.aspx?mc####################################################
UDP:
- DNS ASK 36#.#5ge.com
- DNS ASK ad####8.95ge.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
