Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\xoveere.exe'
Запускает на исполнение:
- '<SYSTEM32>\conhost.exe' /Processid:{F9717507-6651-4EDB-BFF7-AE615179BCCF}
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\xoveere.exe
- %TEMP%\xov1795.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- '17#.#14.221.89':443
- '21#.#45.211.242':443
- '18#.#55.148.254':443
- '18#.#55.152.164':443
- '37.##.144.177':443
- '24.##9.153.153':443
- '38.##4.60.17':443
- '71.#5.80.25':443
- '17#.#6.251.208':443
- '18#.#55.142.250':443
- '38.##4.74.232':443
- '38.##4.74.82':443
- '38.##4.60.223':443
- '38.##4.61.144':443
- '38.##4.75.146':443
- '18#.#55.172.200':443
- '18#.#55.186.193':443
- '38.##4.75.227':443
- '18#.#55.134.177':443
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK ic###azip.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
