Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\attrib.exe +h "No2.bat"
- <SYSTEM32>\rundll32.exe user32,SwapMouseButton
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\8103.8661
- <SYSTEM32>\17549.14381
- %WINDIR%\18217.7967
- <SYSTEM32>\12906.14464
- %WINDIR%\31431.17771
- <SYSTEM32>\23522.13274
- %WINDIR%\15889.31362
- <SYSTEM32>\9271.8477
- %WINDIR%\14104.19870
- <SYSTEM32>\16446.27035
- %WINDIR%\818.951
- <SYSTEM32>\13975.10685
- %WINDIR%\17692.3710
- <SYSTEM32>\32384.2260
- %WINDIR%\18595.1240
- <SYSTEM32>\5975.19091
- %WINDIR%\3478.8459
- <SYSTEM32>\29690.9857
- <SYSTEM32>\32286.3490
- <SYSTEM32>\30327.8054
- %WINDIR%\13184.10147
- <SYSTEM32>\30896.51
- %WINDIR%\24180.17462
- <SYSTEM32>\30517.6946
- %WINDIR%\28210.25229
- <SYSTEM32>\30228.8949
- %WINDIR%\6507.21656
- <SYSTEM32>\24628.71
- %WINDIR%\32481.27741
- <SYSTEM32>\20591.26779
- %WINDIR%\26180.20939
- <SYSTEM32>\27888.16980
- %WINDIR%\24685.13334
- <SYSTEM32>\9871.31579
- %WINDIR%\14408.11229
- <SYSTEM32>\14495.9307
- %WINDIR%\7874.15833
- %WINDIR%\25966.11425
- %WINDIR%\9350.17811
- <SYSTEM32>\22973.8203
- %WINDIR%\27583.28472
- <SYSTEM32>\30942.30169
- %WINDIR%\10203.30137
- <SYSTEM32>\5496.21130
- %WINDIR%\11019.15250
- <SYSTEM32>\28112.22954
- %WINDIR%\13177.7913
- <SYSTEM32>\16087.18302
- %WINDIR%\18244.4599
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\what[1]
- %WINDIR%\7456.13608
- <SYSTEM32>\14728.5476
- %WINDIR%\17534.8785
- <SYSTEM32>\29246.18953
- %WINDIR%\13938.14688
- <SYSTEM32>\26932.23461
- <SYSTEM32>\1752.24107
- <SYSTEM32>\10874.8907
- %WINDIR%\3641.18860
- <SYSTEM32>\15953.835
- %WINDIR%\11547.10775
- <SYSTEM32>\26016.19160
- %WINDIR%\30208.18220
- <SYSTEM32>\31520.10892
- %WINDIR%\14054.18798
- <SYSTEM32>\14082.925
- %WINDIR%\7817.17557
- <SYSTEM32>\6426.26483
- %WINDIR%\12967.16867
- <SYSTEM32>\7032.31468
- %WINDIR%\21523.16374
- <SYSTEM32>\14221.28702
- %WINDIR%\1525.17914
- <SYSTEM32>\12763.4699
- %WINDIR%\30723.32568
- C:\23169.txt
- C:\17349.txt
- C:\11026.txt
- C:\22543.txt
- C:\3670.txt
- C:\15923.txt
- C:\17856.txt
- C:\9575.txt
- C:\9120.txt
- C:\27606.txt
- C:\19878.txt
- C:\5811.txt
- C:\13429.txt
- C:\10449.txt
- C:\15966.txt
- C:\31705.txt
- C:\4466.txt
- C:\31038.txt
- C:\2246.txt
- C:\10604.txt
- C:\31264.txt
- C:\14551.txt
- C:\20548.txt
- C:\14030.txt
- C:\382.txt
- %TEMP%\2828KXAH.bat
- C:\15418.txt
- C:\10299.txt
- C:\4824.txt
- C:\400.txt
- C:\17298.txt
- C:\14310.txt
- C:\19950.txt
- C:\17550.txt
- C:\4498.txt
- C:\8772.txt
- C:\14250.txt
- C:\32139.txt
- <SYSTEM32>\19142.30958
- %WINDIR%\26017.20826
- <SYSTEM32>\26006.10864
- %WINDIR%\28317.24263
- <SYSTEM32>\28472.1891
- %WINDIR%\12374.7716
- <SYSTEM32>\14491.6341
- %WINDIR%\23539.21270
- <SYSTEM32>\24870.13584
- %WINDIR%\20080.2536
- <SYSTEM32>\26250.1914
- %WINDIR%\20815.8584
- <SYSTEM32>\15719.27754
- %WINDIR%\2427.10354
- <SYSTEM32>\28836.25606
- %WINDIR%\29312.12070
- <SYSTEM32>\197.14144
- %WINDIR%\18369.29343
- %WINDIR%\24741.31845
- C:\25725.txt
- C:\1788.txt
- C:\2398.txt
- C:\11469.txt
- C:\9161.txt
- C:\23328.txt
- C:\24481.txt
- C:\6277.txt
- C:\9639.txt
- <SYSTEM32>\5060.21513
- %WINDIR%\2312.9524
- <SYSTEM32>\19791.20297
- %WINDIR%\12236.17794
- <SYSTEM32>\7585.28670
- C:\15140.txt
- C:\27286.txt
- C:\21972.txt
- C:\2787.txt
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\2828KXAH.bat
Удаляет следующие файлы:
- %TEMP%\2828KXAH.bat
Сетевая активность:
Подключается к:
- 'www.da##.net':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- www.da##.net/what/
UDP:
- DNS ASK www.da##.net
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
