Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://18#.#34.216.174/winstore.exe как %appdata%\winstore.exe
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
- %WINDIR%\syswow64\ipconfig.exe
следующие пользовательские процессы:
- winstore.exe
- iexplore.exe
- firefox.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
- Процесс iexplore.exe, модуль wininet.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghghghghВЈ.sct
- %PROGRAMDATA%\hrjytrj.cmd
- %APPDATA%\winstore.exe
- %APPDATA%\microsoft\windows\cookies\user@google[1].txt
Удаляет следующие файлы
- %APPDATA%\winstore.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://18#.#34.216.174/WinStore.exe
UDP
- DNS ASK do#########ocs.googleusercontent.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\winstore.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\ipconfig.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%APPDATA%\WinStore.exe"
