Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\rundll32.exe' %PROGRAMDATA%\ieTneVi.dll,DllRegisterServer
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\msiexec.exe
Изменения в файловой системе
Создает следующие файлы
- %PROGRAMDATA%\ietnevi.dll
- %APPDATA%\hium\erek.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://ma###262020.com/files/april8.dll
Запросы HTTP POST
- http://ma####62020.best/post.php
- http://ma###262020.com/post.php
- http://ma####62020.live/post.php
- http://ma####62020.network/post.php
UDP
- DNS ASK ma###262020.com
- DNS ASK ma####62020.best
- DNS ASK ma####62020.club
- DNS ASK ma####62020.live
- DNS ASK ma####62020.network
- DNS ASK ma####62020.online
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\rundll32.exe' %PROGRAMDATA%\ieTneVi.dll,DllRegisterServer' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\msiexec.exe'
