Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'KB00801295.exe' = '"%APPDATA%\KB00801295.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
- %APPDATA%\KB00801295.exe
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\in[1].htm
- %TEMP%\POS1.tmp.BAT
- %APPDATA%\KB00801295.exe
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\in[1].htm
Самоудаляется.
Сетевая активность:
Подключается к:
- 'oh####hwjtzihdka.ru':80
- 'st####juvwqvlmvj.ru':80
- 'kz####ghktuuzzgz.ru':80
- 'qn####iedetxhdyq.ru':80
- 'wb####crbkrkjftn.ru':80
- 'eo####uwkjskhvki.ru':80
- 'mj####geawadmrya.ru':80
- 'wy####rlaewoaecg.ru':80
- 'ui####xqqbaowfuz.ru':80
- 'kj####bgadkfnoyw.ru':80
- 'gt####zvjshxuvle.ru':80
- 'yl####sxdsvtkygo.ru':80
- 'rg####ofrilwygvh.ru':80
- 'ay####mrlmymcwkh.ru':80
- 'an####elnidmzueo.ru':80
- 'mc####uyhzvzjxbj.ru':80
- 'wi####jkinewgycb.ru':80
- 'hb####cnsuiwgtrq.ru':80
- 'ax####fbraskytvs.ru':80
- 'wf####paxvulfdtn.ru':80
- 'hm####wkvayilcwh.ru':80
- 'xv####estulhtvqz.ru':80
- 'hj####xsutdctjol.ru':80
- 'sk####ujlpedxxsl.ru':80
- 'xk####fpftrtdcrf.ru':80
- 'qt####bqfohcpwft.ru':80
- 'vj####ecxaomkytb.ru':80
- 'tw####wpluclcqcj.ru':80
- 'lz####vmrbwdcpha.ru':80
- 'ta####bbztqnyngq.ru':80
- 'vz####swhqlswkji.ru':80
TCP:
Запросы HTTP POST:
- oh####hwjtzihdka.ru/rwx/B2_9w3/in/
- st####juvwqvlmvj.ru/rwx/B2_9w3/in/
- kz####ghktuuzzgz.ru/rwx/B2_9w3/in/
- qn####iedetxhdyq.ru/rwx/B2_9w3/in/
- wb####crbkrkjftn.ru/rwx/B2_9w3/in/
- eo####uwkjskhvki.ru/rwx/B2_9w3/in/
- mj####geawadmrya.ru/rwx/B2_9w3/in/
- wy####rlaewoaecg.ru/rwx/B2_9w3/in/
- ui####xqqbaowfuz.ru/rwx/B2_9w3/in/
- kj####bgadkfnoyw.ru/rwx/B2_9w3/in/
- gt####zvjshxuvle.ru/rwx/B2_9w3/in/
- yl####sxdsvtkygo.ru/rwx/B2_9w3/in/
- rg####ofrilwygvh.ru/rwx/B2_9w3/in/
- ay####mrlmymcwkh.ru/rwx/B2_9w3/in/
- an####elnidmzueo.ru/rwx/B2_9w3/in/
- mc####uyhzvzjxbj.ru/rwx/B2_9w3/in/
- wi####jkinewgycb.ru/rwx/B2_9w3/in/
- hb####cnsuiwgtrq.ru/rwx/B2_9w3/in/
- ax####fbraskytvs.ru/rwx/B2_9w3/in/
- wf####paxvulfdtn.ru/rwx/B2_9w3/in/
- hm####wkvayilcwh.ru/rwx/B2_9w3/in/
- xv####estulhtvqz.ru/rwx/B2_9w3/in/
- hj####xsutdctjol.ru/rwx/B2_9w3/in/
- sk####ujlpedxxsl.ru/rwx/B2_9w3/in/
- xk####fpftrtdcrf.ru/rwx/B2_9w3/in/
- qt####bqfohcpwft.ru/rwx/B2_9w3/in/
- vj####ecxaomkytb.ru/rwx/B2_9w3/in/
- tw####wpluclcqcj.ru/rwx/B2_9w3/in/
- lz####vmrbwdcpha.ru/rwx/B2_9w3/in/
- ta####bbztqnyngq.ru/rwx/B2_9w3/in/
- vz####swhqlswkji.ru/rwx/B2_9w3/in/
UDP:
- DNS ASK oh####hwjtzihdka.ru
- DNS ASK qn####iedetxhdyq.ru
- DNS ASK kz####ghktuuzzgz.ru
- DNS ASK st####juvwqvlmvj.ru
- DNS ASK wb####crbkrkjftn.ru
- DNS ASK mc####uyhzvzjxbj.ru
- DNS ASK mj####geawadmrya.ru
- DNS ASK eo####uwkjskhvki.ru
- DNS ASK ui####xqqbaowfuz.ru
- DNS ASK yl####sxdsvtkygo.ru
- DNS ASK gt####zvjshxuvle.ru
- DNS ASK kj####bgadkfnoyw.ru
- DNS ASK rg####ofrilwygvh.ru
- DNS ASK wy####rlaewoaecg.ru
- DNS ASK an####elnidmzueo.ru
- DNS ASK ay####mrlmymcwkh.ru
- DNS ASK wi####jkinewgycb.ru
- DNS ASK hb####cnsuiwgtrq.ru
- DNS ASK ax####fbraskytvs.ru
- DNS ASK wf####paxvulfdtn.ru
- DNS ASK hm####wkvayilcwh.ru
- DNS ASK xv####estulhtvqz.ru
- DNS ASK hj####xsutdctjol.ru
- DNS ASK sk####ujlpedxxsl.ru
- DNS ASK xk####fpftrtdcrf.ru
- DNS ASK qt####bqfohcpwft.ru
- DNS ASK vj####ecxaomkytb.ru
- DNS ASK tw####wpluclcqcj.ru
- DNS ASK lz####vmrbwdcpha.ru
- DNS ASK ta####bbztqnyngq.ru
- DNS ASK vz####swhqlswkji.ru
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
