Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\rundll32.exe' %PROGRAMDATA%\zGCORgC.dll,DllRegisterServer
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\msiexec.exe
Изменения в файловой системе
Создает следующие файлы
- %PROGRAMDATA%\zgcorgc.dll
- %APPDATA%\ufip\ripayho.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://wm######xxbcxmucxmlc.com/files/april17.dll
- http://www.sn######hflwgthqismb.com/post.php
Запросы HTTP POST
- http://wm######xxbcxmucxmlc.com/post.php
- http://oj######lftfkkuxxiqd.com/post.php
- http://pw######tsshkoibaake.com/post.php
- http://sn######hflwgthqismb.com/post.php
UDP
- DNS ASK wm######xxbcxmucxmlc.com
- DNS ASK oj######lftfkkuxxiqd.com
- DNS ASK pw######tsshkoibaake.com
- DNS ASK sn######hflwgthqismb.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\rundll32.exe' %PROGRAMDATA%\zGCORgC.dll,DllRegisterServer' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\msiexec.exe'
