Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\{CFLX088B-474O-IZRQ-ERLT-63KC2K83O65E}\jmkdjnf4ycjusb.exe'
- '<LS_APPDATA>\{CFLX088B-474O-IZRQ-ERLT-63KC2K83O65E}\4xw9zpowa.exe'
- '<LS_APPDATA>\{CFLX088B-474O-IZRQ-ERLT-63KC2K83O65E}\jmkdjnf4ycjusb.exe' (загружен из сети Интернет)
- '<LS_APPDATA>\{CFLX088B-474O-IZRQ-ERLT-63KC2K83O65E}\4xw9zpowa.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /C <Текущая директория>\<Имя вируса>.bat
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\<Имя вируса>.pdf
- <LS_APPDATA>\Temp\<Имя вируса>.pdf
- <Текущая директория>\<Имя вируса>.bat
- <LS_APPDATA>\{CFLX088B-474O-IZRQ-ERLT-63KC2K83O65E}\4xw9zpowa.exe
- <LS_APPDATA>\{CFLX088B-474O-IZRQ-ERLT-63KC2K83O65E}\jmkdjnf4ycjusb.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ma########niobi.web69.f1.k8.com.br':80
- 're########edo33.web158.f1.k8.com.br':80
TCP:
Запросы HTTP GET:
- re########edo33.web158.f1.k8.com.br/netsait/hifig.png
- re########edo33.web158.f1.k8.com.br/netsait/ygdsl.png
Запросы HTTP POST:
- ma########niobi.web69.f1.k8.com.br/adm/contador.php
UDP:
- DNS ASK ma########niobi.web69.f1.k8.com.br
- DNS ASK re########edo33.web158.f1.k8.com.br
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'TFrmSegTrab' WindowName: '(null)'
