Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /F /IM explorer.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\guidoausili.exe
- <Текущая директория>\gastart.exe
- <Текущая директория>\new\guidoausili.exe
- <Текущая директория>\new\guidoausili.exe.config
- <Текущая директория>\new\guidoausili.vshost.exe
- <Текущая директория>\new\guidoausili.vshost.exe.config
- <Текущая директория>\gaocx.dll
- %HOMEPATH%\desktop\guidoausili.lnk
- %APPDATA%\microsoft\windows\sendto\guidoausili.lnk
- %APPDATA%\microsoft\speech\files\userlexicons\sp_07202d54959841ce9abf39074af58499.dat
Сетевая активность
TCP
Запросы HTTP GET
- http://18#.#13.167.248/download/GuidoAusili.exe
- http://18#.#13.167.248/download/GAStart.exe
- http://18#.#13.167.248/download/GuidoAusili.exe.config.txt
- http://18#.#13.167.248/download/GuidoAusili.vshost.exe
- http://18#.#13.167.248/download/GuidoAusili.vshost.exe.config.txt
- http://18#.#13.167.248/download/GAOCX.dll
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
- ClassName: '' WindowName: 'Microsoft .NET Framework'
Создает и запускает на исполнение
- '<Текущая директория>\guidoausili.exe' DASTART
- '<Текущая директория>\gastart.exe' CHECK
- '%WINDIR%\syswow64\taskkill.exe' /F /IM explorer.exe' (со скрытым окном)
