Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /F /IM cmd.exe
- '<SYSTEM32>\cmd.exe' /c %TEMP%\1J8L4m3C.bat
- '<SYSTEM32>\cmd.exe' /c %TEMP%\0N2y7U.bat
- '<SYSTEM32>\taskkill.exe' /f /t /im av*
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
следующие пользовательские процессы:
- AVPCC.EXE
- AVP32.EXE
- AVSYNMGR.EXE
- AVPM.EXE
- AVP.EXE
- AVGCC32.EXE
- avgcc.exe
- AVP.COM
- AVGCTRL.EXE
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\3i7k2m6T6w\7H5H0W.7S2U1i
- %PROGRAM_FILES%\3i7k2m6T6w\0E8o4E.8C3Y7V
- %TEMP%\1J8L4m3C.bat
- %TEMP%\0N2y7U.bat
- %PROGRAM_FILES%\3i7k2m6T6w\1N8h3X.3C1I6T
- %PROGRAM_FILES%\3i7k2m6T6w\5c7q6k.2j2w5R
Удаляет следующие файлы:
- %PROGRAM_FILES%\3i7k2m6T6w\7H5H0W.7S2U1i
- %PROGRAM_FILES%\3i7k2m6T6w\0E8o4E.8C3Y7V
- %PROGRAM_FILES%\3i7k2m6T6w\1N8h3X.3C1I6T
- %PROGRAM_FILES%\3i7k2m6T6w\5c7q6k.2j2w5R
Самоудаляется.
Сетевая активность:
Подключается к:
- 'cp#######.publiccloud.com.br':80
TCP:
Запросы HTTP GET:
- cp#######.publiccloud.com.br/150813/pe40/lucia30.pdf
- cp#######.publiccloud.com.br/150813/pe40/lucia40.pdf
- cp#######.publiccloud.com.br/150813/pe40/lucia10.pdf
- cp#######.publiccloud.com.br/150813/pe40/lucia20.pdf
UDP:
- DNS ASK cp#######.publiccloud.com.br
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: '(null)'
- ClassName: '(null)' WindowName: '(null)'
