Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\clddtzgyekerz.js
- %TEMP%\esxlwcv_44042.exe
- %TEMP%\esxlwcv_93989.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://lv#####turedirect.com/iK1Sub
- http://ro##da.com/tw5MeF
- http://pa###oards.com/8KJZdt
- http://ph##ci.in/7SC0vA
- http://co###atour.com/VMIz0P
- http://pu###apart.com/YCDUH9
- http://go###zon.com/6WcNjA
- http://ma####obilya.com/1d9qpc
- http://ex#####ntstorestt.com/Ivszwj
- http://fo###m-bg.com/g9zV13
- http://tu####citytour.com/SxOi2P
UDP
- DNS ASK li##uce.com
- DNS ASK ex#####ntstorestt.com
- DNS ASK sc###amania.com
- DNS ASK ou###or-sz.com
- DNS ASK te########dofgiftsandbargains.co.uk
- DNS ASK hh##.#x3webs.com
- DNS ASK ir#####ganics.com.au
- DNS ASK ma####obilya.com
- DNS ASK go###zon.com
- DNS ASK pu###apart.com
- DNS ASK co###atour.com
- DNS ASK sp#####undbyjynx.com
- DNS ASK bw###bler.se
- DNS ASK ph##ci.in
- DNS ASK di#####tbandmerch.com
- DNS ASK pa###oards.com
- DNS ASK 17####public.com
- DNS ASK cr####ljoias.com.br
- DNS ASK re#####rsinsandiego.com
- DNS ASK ro##da.com
- DNS ASK lv#####turedirect.com
- DNS ASK bb##aar.us
- DNS ASK fo###m-bg.com
- DNS ASK tu####citytour.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' %TEMP%\cLDdTZGYekERz.js
