Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\ProgramData\p.exe'
- '%APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gvt.exe'
- 'C:\ProgramData\p.exe' (загружен из сети Интернет)
- '%APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gvt.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' config wscsvc start= disabled
Изменения в файловой системе:
Создает следующие файлы:
- C:\ProgramData\p.exe
- C:\ProgramData\Microsoft\RAC\Temp\sqlAEF5.tmp
- C:\ProgramData\Microsoft\RAC\Temp\sqlAEE4.tmp
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\forum_list[1].exe
- %APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gvt.exe
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\YF7T7AK2\meu[1].exe
Удаляет следующие файлы:
- C:\ProgramData\Microsoft\RAC\Temp\sqlAEE4.tmp
- C:\ProgramData\Microsoft\RAC\Temp\sqlAEF5.tmp
Сетевая активность:
Подключается к:
- 'www.ri###olf.com':80
- 'www.gu###borne.com':80
TCP:
Запросы HTTP GET:
- www.ri###olf.com/joomla/modules/mod_articles_popular/meu.exe
- www.gu###borne.com/abmasterd/forum_list.exe
UDP:
- DNS ASK www.ri###olf.com
- DNS ASK www.gu###borne.com
