Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' -r -s -h <Имя файла>.exe
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\h4QepFoEWOUs.bat" <Имя файла>.exe"
- '<SYSTEM32>\svchost.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
- <SYSTEM32>\cscript.exe
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\alg.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\h4QepFoEWOUs.bat
- %WINDIR%\ijjdw.fjy
Удаляет следующие файлы:
- %WINDIR%\ijjdw.fjy
Подменяет следующие файлы:
- %WINDIR%\ijjdw.fjy
Самоудаляется.
Сетевая активность:
Подключается к:
- '88.##6.253.166':35618
- '12#.#05.25.141':35618
- '14.#6.57.74':35618
- '18#.#49.196.154':35618
- '18#.#15.191.129':35618
- '83.##0.76.124':35618
- '69.#.18.185':35618
- '13#.#04.10.3':35618
- '75.##6.108.223':35618
- '50.##8.8.193':35618
- '24.##7.53.170':35618
- '68.##0.170.139':35618
- '20#.#44.103.117':35618
- '11#.#66.28.100':35618
- '68.##6.160.188':35618
UDP:
- DNS ASK se####riensnow.org
- DNS ASK microsoft.com
- DNS ASK google.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
