Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://la###design.ru/a/gra.exe как %appdata%\ja.exe
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
- %WINDIR%\syswow64\msiexec.exe
следующие пользовательские процессы:
- ja.exe
- iexplore.exe
- firefox.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghghghghВЈ.sct
- %APPDATA%\ja.exe
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
Удаляет следующие файлы
- %APPDATA%\ja.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://la###design.ru/a/gra.exe
UDP
- DNS ASK la###design.ru
- DNS ASK re###are.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\ja.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\msiexec.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%APPDATA%\ja.exe"
