Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\Temp\unxggva.exe'
- '<LS_APPDATA>\{8VSVEO3K-BRUM-DLKJ-USMM-7WFVZ7CUVHPP}\r51hpqlz6e.exe'
- '<LS_APPDATA>\Temp\unxggva.exe' (загружен из сети Интернет)
- '<LS_APPDATA>\{8VSVEO3K-BRUM-DLKJ-USMM-7WFVZ7CUVHPP}\r51hpqlz6e.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /C <Текущая директория>\<Имя вируса>.bat
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\<Имя вируса>.pdf
- <LS_APPDATA>\Temp\<Имя вируса>.pdf
- <Текущая директория>\<Имя вируса>.bat
- <LS_APPDATA>\Temp\unxggva.exe
- <LS_APPDATA>\{8VSVEO3K-BRUM-DLKJ-USMM-7WFVZ7CUVHPP}\r51hpqlz6e.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- '54.##2.19.87':80
- '54.#32.49.6':80
TCP:
Запросы HTTP GET:
- http://54.#32.49.6/folders/img/kiamotors.bmp
- http://54.#32.49.6/folders/img/hyunday.bmp
Запросы HTTP POST:
- http://54.##2.19.87/adm/contador.php
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'TFDestMod' WindowName: ''
