Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\OleView] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%ALLUSERSPROFILE%\OleView\OleView.exe'
- '%TEMP%\time.exe'
- '%TEMP%\OleView.Exe'
Запускает на исполнение:
- '<SYSTEM32>\msiexec.exe' 209 2900
- '<SYSTEM32>\svchost.exe' 201 0
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\msiexec.exe
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\OleView\ACLUI.DLL
- %TEMP%\7ZSfx000.cmd
- %ALLUSERSPROFILE%\SxS\bug.log
- %ALLUSERSPROFILE%\OleView\OleView.exe
- %TEMP%\OleView.Exe
- %TEMP%\ACLUI.DLL.UI
- %TEMP%\ACLUI.DLL
- %TEMP%\time.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\OleView\OleView.exe
- %ALLUSERSPROFILE%\OleView\ACLUI.DLL.UI
- %ALLUSERSPROFILE%\OleView\ACLUI.DLL
Удаляет следующие файлы:
- %TEMP%\OleView.Exe
- %TEMP%\7ZSfx000.cmd
- %TEMP%\ACLUI.DLL
- %TEMP%\ACLUI.DLL.UI
Самоудаляется.
Сетевая активность:
Подключается к:
- 'pe#.##acocafe.com':80
UDP:
- DNS ASK pe#.##acocafe.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
