Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Windows MineFilter Diagnostics Service] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\midiasvc.exe /i
- %PROGRAM_FILES%\MineFilter\mineejsvc.exe
- <SYSTEM32>\midiasvc.exe
- <SYSTEM32>\midiasvc.exe /start
- %PROGRAM_FILES%\MineFilter\mineejsvc.ex_ /u
- %PROGRAM_FILES%\MineFilter\mineejsvc.ex_ /stop
- %PROGRAM_FILES%\MineFilter\mineejsvc.exe /start
- %PROGRAM_FILES%\MineFilter\mineejsvc.exe /i
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\MineFilter\mineejsvc.ex_
- %PROGRAM_FILES%\MineFilter\mineejnad.dl_
- %PROGRAM_FILES%\MineFilter\mineej.dl_
- %PROGRAM_FILES%\MineFilter\minerun.ex_
- <LS_APPDATA>\MineFilter\user.ini
- %PROGRAM_FILES%\MineFilter\uninst.exe
- %PROGRAM_FILES%\MineFilter\Log\minefilter_up_20111114.txt
- %TEMP%\nsh2.tmp\System.dll
- %TEMP%\~nsis\c3a005\mineejnad.dll
- %TEMP%\nsh2.tmp\nsProcess.dll
- %TEMP%\nsh2.tmp\splash.jpg
- <SYSTEM32>\midiasvc.ex_
- %TEMP%\nsh2.tmp\newadvsplash.dll
Удаляет следующие файлы:
- %TEMP%\nsh2.tmp\System.dll
- %TEMP%\~DF327F.tmp
- %TEMP%\nsh2.tmp\splash.jpg
- %TEMP%\nsh2.tmp\newadvsplash.dll
- %TEMP%\nsh2.tmp\nsProcess.dll
Сетевая активность:
Подключается к:
- 'de#####.minefilter.com':80
TCP:
Запросы HTTP POST:
- de#####.minefilter.com/mine_report.php
UDP:
- DNS ASK de#####.minefilter.com
- '<IP-адрес в локальной сети>':1035
