Trojan.Siggen6.20115

Создает и запускает на исполнение:
  • '%TEMP%\gupdate.exe'
Запускает на исполнение:
  • '<SYSTEM32>\wbem\scrcons.exe' -Embedding
Изменения в файловой системе:
Создает следующие файлы:
  • %TEMP%\~Ne9.tmp
  • %TEMP%\~Ne8.tmp
  • %TEMP%\~Ne7.tmp
  • <SYSTEM32>\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6YQRA29M\feed[1]
  • <SYSTEM32>\httpcom.log
  • %TEMP%\~NeA.tmp
  • %TEMP%\~Ne3.tmp
  • %TEMP%\~Ne2.tmp
  • %TEMP%\~Ne1.tmp
  • %TEMP%\~Ne6.tmp
  • %TEMP%\~Ne5.tmp
  • %TEMP%\~Ne4.tmp
Удаляет следующие файлы:
  • %TEMP%\gupdate.exe
Перемещает следующие файлы:
  • %TEMP%\~Ne7.tmp в %TEMP%\gupdate.exe
  • %TEMP%\~Ne6.tmp в %TEMP%\gupdate.exe
  • %TEMP%\~Ne8.tmp в %TEMP%\gupdate.exe
  • %TEMP%\~NeA.tmp в %TEMP%\gupdate.exe
  • %TEMP%\~Ne9.tmp в %TEMP%\gupdate.exe
  • %TEMP%\~Ne2.tmp в %TEMP%\gupdate.exe
  • %TEMP%\~Ne1.tmp в %TEMP%\gupdate.exe
  • %TEMP%\~Ne3.tmp в %TEMP%\gupdate.exe
  • %TEMP%\~Ne5.tmp в %TEMP%\gupdate.exe
  • %TEMP%\~Ne4.tmp в %TEMP%\gupdate.exe
Самоудаляется.
Сетевая активность:
Подключается к:
  • 'bl###.rediff.com':80
  • 'localhost':1035
TCP:
Запросы HTTP GET:
  • bl###.rediff.com/arunachali/feed/
UDP:
  • DNS ASK bl###.rediff.com