Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Создает onion-сервис
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\tor\state.tmp
- %APPDATA%\tor\hidden_service\private_key.tmp
- %APPDATA%\tor\hidden_service\hostname.tmp
- %TEMP%\libcurl-4.dll
- %TEMP%\libpdcurses.dll
- %TEMP%\pthreadgc2.dll
- %TEMP%\poclbm120222.cl
Перемещает следующие файлы
- %APPDATA%\tor\state.tmp в %APPDATA%\tor\state
- %APPDATA%\tor\hidden_service\private_key.tmp в %APPDATA%\tor\hidden_service\private_key
- %APPDATA%\tor\hidden_service\hostname.tmp в %APPDATA%\tor\hidden_service\hostname
Сетевая активность
Подключается к
- 'localhost':9050
- '21#.#12.245.170':443
TCP
Запросы HTTP GET
- http://12#.#.0.1:54465/iplist.txt
UDP
- DNS ASK ch####p.dyndns.org
Другое
Создает и запускает на исполнение
- '<Полный путь к файлу>' ' (со скрытым окном)
- '<SYSTEM32>\msra.exe' --HiddenServiceDir "%APPDATA%\tor\hidden_service" --HiddenServicePort "55080 127.0.0.1:55080"' (со скрытым окном)
- '<SYSTEM32>\svchost.exe' (null)' (со скрытым окном)
- '<SYSTEM32>\svchost.exe' ext "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\msra.exe' --HiddenServiceDir "%APPDATA%\tor\hidden_service" --HiddenServicePort "55080 127.0.0.1:55080"
- '<SYSTEM32>\svchost.exe' (null)
- '<SYSTEM32>\svchost.exe' ext "<Полный путь к файлу>"
