Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /im "<Имя файла>.exe" /f
- '%WINDIR%\syswow64\taskkill.exe' /im "UQzwBQAQPk=.exe" /f
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\uqzwbqaqpk=.exe
Удаляет следующие файлы
- <Текущая директория>\uqzwbqaqpk=.exe
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://ip###ger.org/1dnc57
- http://ip###ger.org/1imy57
- http://ip###ger.org/17mux7
- http://ip###ger.org/17Tux7
UDP
- DNS ASK yo#####4kdowloader.club
- DNS ASK yo###be4kd.club
- DNS ASK ip###ger.org
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\uqzwbqaqpk=.exe'
- '%WINDIR%\syswow64\cmd.exe' /c start /I "" "<Текущая директория>\UQzwBQAQPk=.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /im "<Имя файла>.exe" /f & erase "<Полный путь к файлу>" & exit' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /im "UQzwBQAQPk=.exe" /f & erase "<Текущая директория>\UQzwBQAQPk=.exe" & exit' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c start /I "" "<Текущая директория>\UQzwBQAQPk=.exe"
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /im "<Имя файла>.exe" /f & erase "<Полный путь к файлу>" & exit
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /im "UQzwBQAQPk=.exe" /f & erase "<Текущая директория>\UQzwBQAQPk=.exe" & exit
