Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %HOMEPATH%\desktop\glidescope_review_rev_010.docx
- %HOMEPATH%\desktop\issi2013_template_for_posters.docx
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\log
- %TEMP%\tmprs.0xc
- %TEMP%\tmytr.zip
- %TEMP%\tmpvd.0xc
- %TEMP%\tmpzf.0xc
- %TEMP%\tmpcd.0xc
- %TEMP%\znfhgr.jpg
- <Текущая директория>\kmsauto net.exe
- <Текущая директория>\test.test
Удаляет следующие файлы
- %TEMP%\tmprs.0xc
- %TEMP%\tmpvd.0xc
- %TEMP%\tmpzf.0xc
- %TEMP%\tmpcd.0xc
- %TEMP%\znfhgr.jpg
- %TEMP%\tmytr.zip
- %APPDATA%\log
- <Текущая директория>\test.test
Подменяет следующие файлы
- %TEMP%\tmprs.0xc
Сетевая активность
Подключается к
- 'u5#######3.ha003.t.justns.ru':80
TCP
Запросы HTTP GET
- http://u5#######3.ha003.t.justns.ru//Soft//log.exe
- http://u5#######3.ha003.t.justns.ru//Soft//KMS.exe
Запросы HTTP POST
- http://u5#######3.ha003.t.justns.ru/404.php
UDP
- DNS ASK u5#######3.ha003.t.justns.ru
Другое
Ищет следующие окна
- ClassName: 'ConsoleWindowClass' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\log'
- '<Текущая директория>\kmsauto net.exe'
- '<SYSTEM32>\cmd.exe' /c echo test>>"<Текущая директория>\test.test"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /D /c del /F /Q "test.test"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c echo test>>"<Текущая директория>\test.test"
- '<SYSTEM32>\cmd.exe' /D /c del /F /Q "test.test"
