Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://16#.#3.44.66/two/two.exe как %appdata%\two.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghghghghВЈ.sct
- %PROGRAMDATA%\hrjytrj.cmd
- %APPDATA%\two.exe
- %TEMP%\ixp000.tmp\5140jsfnnjle71j.tmp
- %TEMP%\ixp000.tmp\14rxtpjhf7y7zyn.exe
- %TEMP%\ixp000.tmp\ayeolpvbn5mvfa8.exe
- %TEMP%\ixp001.tmp\5140jsfnnjle71j.tmp
- %TEMP%\ixp001.tmp\14rxtpjhf7y7zyn.exe
- %TEMP%\ixp001.tmp\ayeolpvbn5mvfa8.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\ixp000.tmp\14rxtpjhf7y7zyn.exe
- %TEMP%\ixp001.tmp\14rxtpjhf7y7zyn.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://16#.#3.44.66/two/two.exe
Другое
Создает и запускает на исполнение
- '%APPDATA%\two.exe'
- '%TEMP%\ixp000.tmp\14rxtpjhf7y7zyn.exe' -decrypt -key ftj98lyn4o74ib -infile 5140jsfnnjle71j.tmp -outfile ayeolpvbn5mvfa8.exe
- '%TEMP%\ixp000.tmp\ayeolpvbn5mvfa8.exe'
- '%TEMP%\ixp001.tmp\14rxtpjhf7y7zyn.exe' -decrypt -key ftj98lyn4o74ib -infile 5140jsfnnjle71j.tmp -outfile ayeolpvbn5mvfa8.exe
- '%TEMP%\ixp001.tmp\ayeolpvbn5mvfa8.exe'
- '%TEMP%\ixp000.tmp\14rxtpjhf7y7zyn.exe' -decrypt -key ftj98lyn4o74ib -infile 5140jsfnnjle71j.tmp -outfile ayeolpvbn5mvfa8.exe' (со скрытым окном)
- '%TEMP%\ixp000.tmp\ayeolpvbn5mvfa8.exe' ' (со скрытым окном)
- '%TEMP%\ixp001.tmp\14rxtpjhf7y7zyn.exe' -decrypt -key ftj98lyn4o74ib -infile 5140jsfnnjle71j.tmp -outfile ayeolpvbn5mvfa8.exe' (со скрытым окном)
- '%TEMP%\ixp001.tmp\ayeolpvbn5mvfa8.exe' ' (со скрытым окном)
