Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\bitbde0.tmp
- %WINDIR%\tasks\ping.job
- <SYSTEM32>\tasks\ping
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\2895135.exe'
Создает и загружает библиотеки (эксплоит)
- %TEMP%\string.dll
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\mstsc.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\mstsc.exe
- %WINDIR%\syswow64\mstsc.exe
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\string.dll
- %TEMP%\1085423.dat
- %TEMP%\2895135.exe
- %TEMP%\bit2354.tmp
- %TEMP%\1e57965d.png
- %APPDATA%\adobe\bitb4e6.tmp
- %TEMP%\63834630.lnk
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\adobe\bitb4e6.tmp
- %APPDATA%\microsoft\windows\start menu\programs\startup\bitbde0.tmp
Удаляет следующие файлы
- %TEMP%\bit2354.tmp
Перемещает следующие файлы
- %APPDATA%\adobe\bitb4e6.tmp в %APPDATA%\adobe\ping.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://oc##.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQwF4prw9S7mCbCEHD%2Fyl6nWPkczAQUe1tFz6%2FOy3r9MZIaarbzRutXSFACEEeXTXhzpbyrDS%2BzcBkvzl4%3D
UDP
- DNS ASK pa###bin.com
- DNS ASK i.##gur.com
- DNS ASK di###diana.com
- DNS ASK oc##.thawte.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\mstsc.exe'
- '%WINDIR%\syswow64\cmd.exe'
