Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%HOMEPATH%\documents\todxofs.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\wermgr.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\documents\todxofs.exe
- %TEMP%\log3313.tmp
Удаляет следующие файлы
- %TEMP%\log3313.tmp
Сетевая активность
TCP
Запросы HTTP GET
- http://oc##.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQwF4prw9S7mCbCEHD%2Fyl6nWPkczAQUe1tFz6%2FOy3r9MZIaarbzRutXSFACEEeXTXhzpbyrDS%2BzcBkvzl4%3D
- http://wt###myip.com/text
UDP
- DNS ASK po##.works
- DNS ASK oc##.thawte.com
- DNS ASK wt###myip.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\documents\todxofs.exe' ' (со скрытым окном)
- '<SYSTEM32>\wermgr.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\wermgr.exe'
