Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\rt4goookc0k.exe' (загружен из сети Интернет)
- '%APPDATA%\vlngp1.exe' (загружен из сети Интернет)
- '%APPDATA%\4g2q1wwvl5b.exe' (загружен из сети Интернет)
- '%APPDATA%\linker.exe' (загружен из сети Интернет)
- '%APPDATA%\th14stipcjx.exe' (загружен из сети Интернет)
- '%APPDATA%\uefnvbfk2j4.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '%APPDATA%\rt4goookc0k.exe' /id:51524 /Subid:21055
- '%APPDATA%\vlngp1.exe' /S /CID=21052
- '%APPDATA%\4g2q1wwvl5b.exe' /silent
- '%APPDATA%\linker.exe' {"packer":{"DistributerName":"APSFWemonetize","ChannelId":"3"},"Agent":{"SetAll":"true"}}
- '%APPDATA%\th14stipcjx.exe' {"packer":{"DistributerName":"APSnapdoAMRev","ChannelId":"3"},"agent":{"SetAll":"true","Internal_Amonetize_Campaign_ID":"20394","OUR_CLICK_ID":_"1"}}
- '%APPDATA%\uefnvbfk2j4.exe' /S /ci 21057
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\rt4goookc0k.exe
- %APPDATA%\vlngp1.exe
- %APPDATA%\4g2q1wwvl5b.exe
- %APPDATA%\linker.exe
- %APPDATA%\th14stipcjx.exe
- %APPDATA%\uefnvbfk2j4.exe
Сетевая активность:
Подключается к:
- 'do##.#eadesktop.com':80
- 'vl##.#ktovnbmr.com':80
- 'zo###.#zabelcoin.com':80
- 'wp#d':80
- 'in#####.rgbcjfir.com':80
- 'www.ge####filenow.com':80
TCP:
Запросы HTTP GET:
- http://do##.#eadesktop.com/YeaDesk/yeadesktop2.exe
- http://vl##.#ktovnbmr.com/vlngp1.exe
- http://zo###.#zabelcoin.com/Zone3.exe
- http://www.ge####filenow.com/xdownload.php?mo##############################
- http://11#.#11.111.1/wpad.dat via wp#d
- http://in#####.rgbcjfir.com/download/APSFWemonetize
- http://in#####.rgbcjfir.com/download/APSnapdoAMRev
UDP:
- DNS ASK do##.#eadesktop.com
- DNS ASK vl##.#ktovnbmr.com
- DNS ASK zo###.#zabelcoin.com
- DNS ASK wp#d
- DNS ASK in#####.rgbcjfir.com
- DNS ASK www.ge####filenow.com
