Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' 1.1.1.1 -n 1 -w 3000
- '<SYSTEM32>\cmd.exe' /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del "<Полный путь к файлу>"
- '%APPDATA%\Microsoft\task55.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\task55.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'bb#####kckncafkl.com':80
- 'cf####fmlcaafooc.co':80
- 'af#####bmkaceccm.info':80
- 'dd#####lkcbafodc.com':80
- 'bb#####dbaccnadd.online':80
- 'ip##fo.io':80
- 'wp#d':80
- 'po######4dnrxytb.onion.rip':80
- 'dd####ofnacobbbk.tk':80
- 'mk#####amleekemb.org':80
TCP:
Запросы HTTP GET:
- http://ip##fo.io/country
- http://ip##fo.io/ip
- http://11#.#11.111.1/wpad.dat via wp#d
Запросы HTTP POST:
- http://af#####bmkaceccm.info/validation.php
- http://bb#####kckncafkl.com/validation.php
- http://dd#####lkcbafodc.com/validation.php
- http://bb#####dbaccnadd.online/validation.php
- http://mk#####amleekemb.org/validation.php
- http://po######4dnrxytb.onion.rip/validation.php
- http://cf####fmlcaafooc.co/validation.php
- http://dd####ofnacobbbk.tk/validation.php
UDP:
- DNS ASK af#####bmkaceccm.info
- DNS ASK bb#####kckncafkl.com
- DNS ASK bb#####dbaccnadd.online
- DNS ASK mm#####mkbkoafcb.co.uk
- DNS ASK dd#####lkcbafodc.com
- DNS ASK cf####fmlcaafooc.co
- DNS ASK ip##fo.io
- DNS ASK wp#d
- DNS ASK po######4dnrxytb.onion.rip
- DNS ASK dd####ofnacobbbk.tk
- DNS ASK mk#####amleekemb.org
