Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\91679105\gerente.exe'
- 'C:\91679105\service.exe'
- 'C:\91679105\gerente.exe' (загружен из сети Интернет)
- 'C:\91679105\service.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- C:\91679105\Plg.txt
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\BOWDBRP7\gerente[1].exe
- C:\91679105\gerente.exe
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\service[1].exe
- C:\91679105\service.exe
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\YF7T7AK2\Plg[1].txt
Сетевая активность:
Подключается к:
- 'ag####ncho-ltda.com':80
- 'am######artorio-ltda.com':80
- 'localhost':50052
TCP:
Запросы HTTP GET:
- am######artorio-ltda.com/11-07/gerente.exe
- ag####ncho-ltda.com/12/Sistem.php?op###############################################################################################################################################################################################################
- am######artorio-ltda.com/11-07/service.exe
- am######artorio-ltda.com/11-07/Plg.txt
UDP:
- DNS ASK ag####ncho-ltda.com
- DNS ASK am######artorio-ltda.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: '(null)'
