Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\starts.exe'
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\G.Derevyanko_E.Derevyanko-Samaya_luchshaya_mama_zemli.mp3
- %TEMP%\RarSFX0\starts.exe
- %ALLUSERSPROFILE%\Desktop\Download G.Derevyanko_E...lnk
Сетевая активность:
Подключается к:
- 'do####ad-song.ru':80
- 'cb######sqfxmb6.teedsu.ru':80
- 'do###oad-mp3.in':80
TCP:
Запросы HTTP GET:
- do####ad-song.ru/audios/aHR0cDovL2NzMS01MXY0LnZrLm1lL3AyMS8yZjEyNDYyMjRmMGVjZS5tcDM_ZXh0cmE9dXRUVlJBLTdtUDVwQlAzTjNSX29nV2Vrc2dpblAtYVNVcnVsY2ptalpzYmNYWkYwU1hValp4amVkd1J4dVdXSWo1NEZKMHk2WFp0dEFQbzVURS1vM3FNTmhtazh4VFBSWVE/G.Derevyanko_E.Derevyanko-Samaya_luchshaya_mama_zemli
Запросы HTTP POST:
- cb######sqfxmb6.teedsu.ru/api/index
- do###oad-mp3.in/api/index
UDP:
- DNS ASK do####ad-song.ru
- DNS ASK cb######sqfxmb6.teedsu.ru
- DNS ASK do###oad-mp3.in
Другое:
Ищет следующие окна:
- ClassName: 'ReBarWindow32' WindowName: ''
- ClassName: 'WMP9DeskBand' WindowName: 'WMP9DeskBand'
- ClassName: 'WMPlayerApp' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
