Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\Wajam\tmp\1\wajam_install.exe' /S eyJhaWQiOiI0MjIyIiwiZG9udF91c2VfcG9zdCI6InRydWUifQ==
- '%TEMP%\dwn.exe' /S eyJhaWQiOiI0MjIyIiwiZG9udF91c2VfcG9zdCI6InRydWUifQ==
- '%TEMP%\cr.exe' /S eyJhaWQiOiI0MjIyIiwiZG9udF91c2VfcG9zdCI6InRydWUifQ==
- '%TEMP%\Wajam\tmp\1\wajam_install.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\wajam_install[1]
- %TEMP%\nse5.tmp\nsJSON.dll
- %TEMP%\Wajam\tmp\1\wajam_install.exe
- %TEMP%\nsi4.tmp\nsisos.dll
- %TEMP%\Wajam\tmp\0\install2.log
- %TEMP%\chlink.lnk
- %TEMP%\cr.exe
- %TEMP%\dwn.exe
- %TEMP%\nss3.tmp
- %TEMP%\nsi4.tmp\inetc.dll
- %TEMP%\Wajam\tmp\0\install.log
Удаляет следующие файлы:
- %TEMP%\nsi4.tmp\inetc.dll
- %TEMP%\nsi4.tmp\nsisos.dll
- %TEMP%\dwn.exe
- %TEMP%\Wajam\tmp\0\install2.log
- %TEMP%\Wajam\tmp\0\install.log
- %TEMP%\Wajam\tmp\1\wajam_install.exe
Сетевая активность:
Подключается к:
- 'www.wa####download.com':443
- 'www.wa####download.com':80
TCP:
Запросы HTTP GET:
- www.wa####download.com/wajam_install.exe?ai################
UDP:
- DNS ASK www.wa####download.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: '(null)'
- ClassName: '(null)' WindowName: 'GINA Logon'
- ClassName: 'Chrome_WidgetWin_0' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
