Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\lib\filesnet.exe'
- '<SYSTEM32>\lib\upd.exe'
- '<SYSTEM32>\lib\filesnet.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' <SYSTEM32>\lib\Controller.dll /s
- '<SYSTEM32>\ntvdm.exe' -f -i1
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Temp\scs1.tmp
- %WINDIR%\Temp\scs2.tmp
- <SYSTEM32>\lib\filesnet.exe
- <SYSTEM32>\lib\upd.exe
- <SYSTEM32>\lib\down.txt
Удаляет следующие файлы:
- %WINDIR%\Temp\scs2.tmp
- %WINDIR%\Temp\scs1.tmp
Сетевая активность:
Подключается к:
- 'la####g.cwsurf.de':80
- 'localhost':1041
- 'www.go###e.com.br':80
TCP:
Запросы HTTP GET:
- la####g.cwsurf.de/filesnet.jpg
- www.go###e.com.br/
UDP:
- DNS ASK la####g.cwsurf.de
- DNS ASK www.go###e.com.br
Другое:
Ищет следующие окна:
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-be8.bec.380001'
- ClassName: 'MS_WINHELP' WindowName: ''
