Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\Temp\9kri4oq.exe'
- '<LS_APPDATA>\{Z1UPKJZ4-QHHL-6V9N-XAE2-WMNS5HFQ89HF}\fzalapxmsl.exe'
- '<LS_APPDATA>\Temp\9kri4oq.exe' (загружен из сети Интернет)
- '<LS_APPDATA>\{Z1UPKJZ4-QHHL-6V9N-XAE2-WMNS5HFQ89HF}\fzalapxmsl.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /C <Текущая директория>\<Имя вируса>.bat
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\<Имя вируса>.pdf
- <LS_APPDATA>\Temp\<Имя вируса>.pdf
- <Текущая директория>\<Имя вируса>.bat
- <LS_APPDATA>\Temp\9kri4oq.exe
- <LS_APPDATA>\{Z1UPKJZ4-QHHL-6V9N-XAE2-WMNS5HFQ89HF}\fzalapxmsl.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'me#######ortesul.freevar.com':80
- '54.##4.219.51':80
TCP:
Запросы HTTP GET:
- 54.##4.219.51/cmd/greatL.hlp
- 54.##4.219.51/cmd/kilompG.hlp
Запросы HTTP POST:
- me#######ortesul.freevar.com/adm/contador.php
UDP:
- DNS ASK me#######ortesul.freevar.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Tsepaltmore' WindowName: ''
