Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %APPDATA%\zqmkrehUkpoKfsafsaZg.exe
- %APPDATA%\zqmkrehUkpoKfsafsaZg.exe (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c ""<Текущая директория>\reem.bat" "
- <SYSTEM32>\ping.exe -n 90 127.0.0.1
- <SYSTEM32>\cmd.exe /c ""<Текущая директория>\a.bat" "
- <SYSTEM32>\wscript.exe "<Текущая директория>\inv.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\inv.vbs
- <Текущая директория>\reem.bat
- <Текущая директория>\a.bat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\0pdat3[1].exe
- %APPDATA%\zqmkrehUkpoKfsafsaZg.exe
Сетевая активность:
Подключается к:
- 'po####poidpo.asia':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- po####poidpo.asia/activation.php?pr###################################################
- po####poidpo.asia/update/0pdat3.exe
UDP:
- DNS ASK po####poidpo.asia
