Техническая информация
Изменения в файловой системе
Создает следующие файлы
- C:\kl\ccc.cmd
- C:\kl\<Имя файла>.exe
- nul
Сетевая активность
TCP
Запросы HTTP GET
- http://www.5f##6.cn/vip/?bd##
- http://st#####.##gitalcertvalidation.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRJrF0xYA49jC3D83fgDGesaUkzIQQUf9OZ86BHDjEAVlYijrfMnt3KAYoCEA4byQKKzH96s%2B%2BdyTwA1bw%3D
- http://www.xo##d.cn/js/970.js
- http://www.xo##d.cn/js/300.js
UDP
- DNS ASK 5f##6.cn
- DNS ASK do##.by2365.cn
- DNS ASK st#####.##gitalcertvalidation.com
- DNS ASK xo##d.cn
- DNS ASK js.##ers.51.la
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c c:\kl\ccc.cmd' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c copy <Полный путь к файлу> C:\kl\<Имя файла>.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\kl\ccc.cmd" h"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c c:\kl\ccc.cmd
- '%WINDIR%\syswow64\cmd.exe' /c copy <Полный путь к файлу> C:\kl\<Имя файла>.exe
- '%WINDIR%\syswow64\mshta.exe' vbscript:createobject("wscript.shell").run("""C:\kl\ccc.cmd"" h",0)(window.close)
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\kl\ccc.cmd" h"
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n "360"
