Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\kewwr.exe' (загружен из сети Интернет)
- 'C:\qwshv.exe' (загружен из сети Интернет)
- 'C:\cfmulknl.exe' (загружен из сети Интернет)
- 'C:\hkkyaekg.exe' (загружен из сети Интернет)
- 'C:\-1998166001' (загружен из сети Интернет)
- 'C:\aruxss.exe' (загружен из сети Интернет)
- 'C:\penmrdya.exe' (загружен из сети Интернет)
- 'C:\excbx.exe' (загружен из сети Интернет)
- 'C:\vuou.exe' (загружен из сети Интернет)
- 'C:\aywdthl.exe' (загружен из сети Интернет)
Запускает на исполнение:
- 'C:\cfmulknl.exe'
- 'C:\kewwr.exe'
- 'C:\-1998166001'
- '<SYSTEM32>\cmd.exe' /c del <Полный путь к вирусу> > nul
- 'C:\hkkyaekg.exe'
- 'C:\vuou.exe'
- 'C:\aruxss.exe'
- 'C:\penmrdya.exe'
- 'C:\excbx.exe'
- 'C:\qwshv.exe'
- 'C:\aywdthl.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\kewwr.exe
- C:\qwshv.exe
- C:\cfmulknl.exe
- C:\hkkyaekg.exe
- C:\-1998166001
- C:\aruxss.exe
- C:\penmrdya.exe
- C:\excbx.exe
- C:\vuou.exe
- C:\aywdthl.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ag###scribe.com':80
TCP:
Запросы HTTP GET:
- http://ag###scribe.com/khjgqn/jyfol.php
- http://ag###scribe.com/khjgqn/qwfcqz.php
- http://ag###scribe.com/khjgqn/eurkxhhr.php?ad########
- http://ag###scribe.com/khjgqn/ungqnkxl.php?ad#################################################
- http://ag###scribe.com/khjgqn/oatzj.php
- http://ag###scribe.com/khjgqn/vbunnx.php
- http://ag###scribe.com/khjgqn/xwtcmawtt.php
- http://ag###scribe.com/khjgqn/qwtdnnku.php
- http://ag###scribe.com/khjgqn/gvfpp.php
- http://ag###scribe.com/khjgqn/zbureoliro.php
- http://ag###scribe.com/khjgqn/xsyvvsf.php
UDP:
- DNS ASK ag###scribe.com
