Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\1F356F4D07FE8C483E769E4586569404
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\1F356F4D07FE8C483E769E4586569404
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\B69D763EB21649DA26F20618312DEE70
- %TEMP%\System.Data.SQLite.dll
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\B69D763EB21649DA26F20618312DEE70
Удаляет следующие файлы:
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
Сетевая активность:
Подключается к:
- 'cr#.##modoca.com':80
- 'dv######8kcex.centahost.com':80
- 'wp#d':80
- 'cr#.##ertrust.com':80
TCP:
Запросы HTTP GET:
- dv######8kcex.centahost.com/impression.do/?ev############################################################################################################################################
- dv######8kcex.centahost.com/impression.do/?ev###############################################################################################################################################################
- cr#.##modoca.com/COMODOCodeSigningCA2.crl
- wp#d/wpad.dat
- cr#.##ertrust.com/UTN-USERFirst-Object.crl
UDP:
- DNS ASK po##.ntp.org
- DNS ASK dv######8kcex.centahost.com
- DNS ASK cr#.##modoca.com
- DNS ASK wp#d
- DNS ASK cr#.##ertrust.com
