Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'SfKg6wIPu' = '%APPDATA%\Microsoft\Windows\krdasxq.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WinButler' = '%APPDATA%\WinButler\WinButler.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %APPDATA%\WinButler\WinButler.exe -sa channel1 /install
- %APPDATA%\Microsoft\Windows\krdasxq.exe
- %TEMP%\WinBinstaller.exe -f %HOMEPATH%\Local Settings\Temp
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\WinButler\WinBuninstaller.exe
- %APPDATA%\WinButler\config.cfg
- %TEMP%\wbff.dll
- %TEMP%\tmp2.tmp
- %APPDATA%\Microsoft\Windows\krdasxq.exe
- %APPDATA%\WinButler\WinButler.exe
- %TEMP%\WinBuninstaller.exe
- %TEMP%\config.cfg
- %TEMP%\WinButler.exe
- %TEMP%\ide21201.vxd
- %TEMP%\WinBrec.exe
- %TEMP%\WinBinstaller.exe
Удаляет следующие файлы:
- %TEMP%\WinButler.exe
- %TEMP%\WinBrec.exe
- %TEMP%\config.cfg
- %TEMP%\WinBuninstaller.exe
Сетевая активность:
Подключается к:
- 'www.wi###tler.com':80
TCP:
Запросы HTTP POST:
- www.wi###tler.com/fbck.php
UDP:
- DNS ASK www.wi###tler.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
