Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- "%TEMP%\bknjoi.exe" (загружен из сети Интернет)
- "%TEMP%\wdtugx.exe" (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c "%TEMP%\dosezkv.bat"
- <SYSTEM32>\cmd.exe /c "%TEMP%\npbdgyt.bat"
- <SYSTEM32>\cmd.exe /c "%TEMP%\yavekmn.bat"
- <SYSTEM32>\ping.exe 127.0.0.1
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\xunjie[1].exe
- %TEMP%\dosezkv.bat
- %TEMP%\bknjoi.exe
- %TEMP%\npbdgyt.bat
- %TEMP%\nvvtgj.bat
- %TEMP%\plwihd.bat
- %TEMP%\gvctjy.bat
- %TEMP%\omvexz.exe
- %TEMP%\yavekmn.bat
- %TEMP%\wdtugx.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\js[1].exe
Удаляет следующие файлы:
- %TEMP%\opqsfmrw.bat
- %TEMP%\sdqubhni.bat
- %TEMP%\mdeowcki.bat
Самоудаляется.
Сетевая активность:
Подключается к:
- 'so##.go2000.org':80
- 'www.pp###321.info':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- so##.go2000.org/3/xunjie.exe
- www.pp###321.info/2/js.exe
UDP:
- DNS ASK so##.go2000.org
- DNS ASK www.pp###321.info
