Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\mwmidi.exe
- <SYSTEM32>\syslist.exe
- <SYSTEM32>\winscap.exe
- <SYSTEM32>\windll.exe
- <SYSTEM32>\mwmidi.exe (загружен из сети Интернет)
- <SYSTEM32>\syslist.exe (загружен из сети Интернет)
- <SYSTEM32>\windll.exe (загружен из сети Интернет)
- <SYSTEM32>\winscap.exe (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\syslist.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\syslist[1].jpg
- <SYSTEM32>\mwmidi.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\mwmidi[1].jpg
- <SYSTEM32>\windll.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\windll[1].jpg
- <SYSTEM32>\winscap.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\winscap[1].jpg
Сетевая активность:
Подключается к:
- 'va##ssh.com':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- va##ssh.com/cgi/syslist.jpg
- va##ssh.com/cgi/mwmidi.jpg
- va##ssh.com/cgi/windll.jpg
- va##ssh.com/cgi/winscap.jpg
UDP:
- DNS ASK va##ssh.com
