Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\Tjgyjs.exe'
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Tjgyjs.exe
- %TEMP%\tm_EFC7e.txt
Удаляет следующие файлы:
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- <SYSTEM32>\PerfStringBackup.TMP
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\page_241[1].pdf
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\page_241[1].pdf
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\page_241[1].pdf
Самоудаляется.
Сетевая активность:
Подключается к:
- 'co#####fthemonth.biz':80
- 'mo##h-x.com':80
- '20#.#53.35.133':12012
TCP:
Запросы HTTP GET:
- co#####fthemonth.biz/mandoc/page_241.pdf
- mo##h-x.com/mandoc/page_241.pdf
UDP:
- DNS ASK co#####fthemonth.biz
- DNS ASK mo##h-x.com
