Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\55cE55k.exe (загружен из сети Интернет)
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\55cE55k.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\update1.thebestjusecurity[1].exe&ttl=42a6c0a5d15
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\65.98.83[1]
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\update1.thebestjusecurity[1].exe&ttl=42a6c0a5d15
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\65.98.83[1]
Самоудаляется.
Сетевая активность:
Подключается к:
- 'up#####.#hebestjusecurity.in':80
- '46.##5.131.124':80
- 'localhost':1039
- '21#.#3.15.126':80
- '65.##.83.115':80
TCP:
Запросы HTTP GET:
- up#####.#hebestjusecurity.in/?ab###################################################################################
- 65.##.83.115/?gy#######################################################################################################################
UDP:
- DNS ASK up#####.#hebestjusecurity.in
- '<IP-адрес в локальной сети>':1040
