Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- <LS_APPDATA>\{QOXTK2MO-XVQS-AE8C-ZS9J-47MEBYVNMLNH}\8scpz7b1.exe
- <LS_APPDATA>\{QOXTK2MO-XVQS-AE8C-ZS9J-47MEBYVNMLNH}\occpgb8p4d3tb.exe
- <LS_APPDATA>\Temp\Libzips.exe
- <LS_APPDATA>\{QOXTK2MO-XVQS-AE8C-ZS9J-47MEBYVNMLNH}\8scpz7b1.exe (загружен из сети Интернет)
- <LS_APPDATA>\{QOXTK2MO-XVQS-AE8C-ZS9J-47MEBYVNMLNH}\occpgb8p4d3tb.exe (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\ipconfig.exe /renew
- <SYSTEM32>\ipconfig.exe /flushdns
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\CapLst[1].mid
- <LS_APPDATA>\{QOXTK2MO-XVQS-AE8C-ZS9J-47MEBYVNMLNH}\8scpz7b1.exe
- <LS_APPDATA>\{QOXTK2MO-XVQS-AE8C-ZS9J-47MEBYVNMLNH}\occpgb8p4d3tb.exe
- <LS_APPDATA>\Temp\Libzips.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ModuloX[1].mid
Сетевая активность:
Подключается к:
- 'cr#####01.freetzi.com':80
- 'ca#######ar.web143.f1.k8.com.br':80
- 'www.go###e.com.br':80
TCP:
Запросы HTTP GET:
- ca#######ar.web143.f1.k8.com.br/CapLst.mid
- cr#####01.freetzi.com/membros.php
- ca#######ar.web143.f1.k8.com.br/ModuloX.mid
UDP:
- DNS ASK cr#####01.freetzi.com
- DNS ASK ca#######ar.web143.f1.k8.com.br
- DNS ASK www.go###e.com.br
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
