Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\mcduitll.lnk
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\g4iqck.exe'
Изменения в файловой системе
Создает следующие файлы
- <LS_APPDATA>\microsoft\windows\<INETFILES>\content.ie5\caasbycl\vac[1].exe
- %TEMP%\g4iqck.exe
- %HOMEPATH%\mcduitll.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://bo#####illefoundry.com/ms/vac.exe
UDP
- DNS ASK bo#####illefoundry.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\mcduitll.exe'
- '%WINDIR%\syswow64\cmd.exe' /C type nul > "%TEMP%\g4iqck.exe:Zone.Identifier"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c copy "%TEMP%\g4iqck.exe" "%HOMEPATH%\mcduitll.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c, "%HOMEPATH%\mcduitll.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C type nul > "%HOMEPATH%\mcduitll.exe:Zone.Identifier"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C type nul > "%TEMP%\g4iqck.exe:Zone.Identifier"
- '%WINDIR%\syswow64\cmd.exe' /c copy "%TEMP%\g4iqck.exe" "%HOMEPATH%\mcduitll.exe"
- '%WINDIR%\syswow64\cmd.exe' /c, "%HOMEPATH%\mcduitll.exe"
- '%WINDIR%\syswow64\cmd.exe' /C type nul > "%HOMEPATH%\mcduitll.exe:Zone.Identifier"
