Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\TЕMP\tools\ctfmоn.exe' -o ypool.net -u 0x6A.PTS_1 -p x -t 2 -m256
- 'C:\TЕMP\tools\reg_safe.exe' C:\TЕMP\conhоst.exe
- 'C:\TЕMP\conhоst.exe' inf
- 'C:\TЕMP\tools\ctfmоn.exe' (загружен из сети Интернет)
- 'C:\TЕMP\tools\reg_safe.exe' (загружен из сети Интернет)
Завершает или пытается завершить
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\YF7T7AK2\miner32[1].rar
- C:\TЕMP\tools\reg.exe
- C:\TЕMP\tools\reg_safe.exe
- C:\TЕMP\tools\ctfmоn.exe
- C:\TЕMP\db\version
- C:\TЕMP\db\secure
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\rw[1].rar
- C:\TЕMP\conhоst.exe
Удаляет следующие файлы:
- C:\TЕMP\tools\reg.exe
- C:\TЕMP\conhоst.exe
Сетевая активность:
Подключается к:
- 'localhost':56330
- '1.####char.z8.ru':80
TCP:
Запросы HTTP GET:
- 1.####char.z8.ru/Autolycus/miner32.rar
- 1.####char.z8.ru/Autolycus/rw.rar
- 1.####char.z8.ru/commands.php
UDP:
- DNS ASK 1.####char.z8.ru
