Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\local\stubexe\0x8FA44D3A13100C1F\rulerrrr.exe'
Запускает на исполнение:
- '<SYSTEM32>\dumprep.exe' 3004 -dm 7 7 %TEMP%\WERb2df.dir00\notepad.exe.mdmp 16325836412027120
- '<SYSTEM32>\dumprep.exe' 3004 -dm 7 7 %TEMP%\WERb2df.dir00\notepad.exe.hdmp 16325836412027140
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\sysdm.cpl,NoExecuteProcessException <SYSTEM32>\notepad.exe
- '<SYSTEM32>\notepad.exe'
- '<SYSTEM32>\attrib.exe' "%HOMEPATH%\Desktop\rulerrrr.exe" +s +h
- '<SYSTEM32>\attrib.exe' "%HOMEPATH%\Desktop" +s +h
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\notepad.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\WERb2df.dir00\notepad.exe.hdmp
- %TEMP%\WERb2df.dir00\appcompat.txt
- %TEMP%\WERb2df.dir00\manifest.txt
- <LS_APPDATA>\xsandbox.bin.__tmp__
- %TEMP%\WERb2df.dir00\notepad.exe.mdmp
Перемещает следующие файлы:
- <LS_APPDATA>\local\stubexe\0x8FA44D3A13100C1F\rulerrrr.exe.__tmp__ в <LS_APPDATA>\local\stubexe\0x8FA44D3A13100C1F\rulerrrr.exe
- <LS_APPDATA>\xsandbox.bin.__tmp__ в <LS_APPDATA>\xsandbox.bin
Сетевая активность:
Подключается к:
- '<IP-адрес в локальной сети>':1604
- 'ef####14.no-ip.biz':1604
- 'st###.spoon.net':443
UDP:
- DNS ASK ef####14.no-ip.biz
- DNS ASK st###.spoon.net
Другое:
Ищет следующие окна:
- ClassName: 'SysListView32' WindowName: '(null)'
- ClassName: '#32770' WindowName: 'Data Execution Prevention - Microsoft Windows'
- ClassName: '#32770' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: '#32770' WindowName: '<Служебное имя>'
