Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\Mobile Device Center 5.9.4.238.lnk
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\CpQEd34.tmp\taskhostxu.exe' -second
- '<SYSTEM32>\wscript.exe' "C:\CpQEd34.tmp\qaHWTfJ.vbs"
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' +h C:\CpQEd34.tmp
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'RegmonClass', WindowName: ''
- ClassName: '', WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- C:\CpQEd34.tmp\qaHWTfJ.vbs
- %APPDATA%\RUT_settings\Logs\rms_log_2017-08.html
- C:\CpQEd34.tmp\vp8encoder.dll
- C:\CpQEd34.tmp\taskhostxu.exe
Сетевая активность:
Подключается к:
- 'ru##ls.com':563
- 'ru##ls.com':5655
- 'ru##ls.com':80
TCP:
Запросы HTTP GET:
- http://ru##ls.com/utils/inet_id_notify.php?te####
UDP:
- DNS ASK se####.rutils.com
- DNS ASK ru##ls.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Windows Security Alert'
- ClassName: '18467-41' WindowName: ''
- ClassName: '' WindowName: 'Iiiaauaiea nenoaiu aaciianiinoe Windows'
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
