Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\dbc0.tmp.exe
- %TEMP%\7zipsfx.000\bznnqpzjixagmcgsx.com
- %TEMP%\7zipsfx.000\fsfachvgnrlts.com
- %TEMP%\7zipsfx.000\jutrothryabg.com
- %TEMP%\7zipsfx.000\ommjikkkiwwo.com
- %TEMP%\7zipsfx.000\wininit.com
- %TEMP%\7zipsfx.000\d
Удаляет следующие файлы
- %TEMP%\7zipsfx.000\bznnqpzjixagmcgsx.com
- %TEMP%\7zipsfx.000\d
- %TEMP%\7zipsfx.000\fsfachvgnrlts.com
Сетевая активность
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
- http://oc##.#ectigo.com/MFIwUDBOMEwwSjAJBgUrDgMCGgUABBRDC9IOTxN6GmyRjyTl2n4yTUczyAQUjYxexFStiuF36Zv5mwXhuAGNYeECEQDB9DFJI%2FjH78a3Z2I6%2BAWe
- http://www.ma######ntalsolution.com/wp-content/uploads/img2.php
UDP
- DNS ASK ra###nalowl.com
- DNS ASK microsoft.com
- DNS ASK oc##.#ectigo.com
- DNS ASK ip###ger.org
- DNS ASK Xy##q.naYNJ
- DNS ASK UI###LT.UIyyKLT
- DNS ASK ma######ntalsolution.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\dbc0.tmp.exe'
- '%TEMP%\7zipsfx.000\wininit.com' d
- '%WINDIR%\syswow64\cmd.exe' /c echo mbwuAnLye' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c cmd < jutrOtHRyaBG.com' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c echo mbwuAnLye
- '%WINDIR%\syswow64\cmd.exe' /c cmd < jutrOtHRyaBG.com
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\ping.exe' -n 1 XyBmq.naYNJ
- '%WINDIR%\syswow64\certutil.exe' -decode OMmjIKkKIWwo.com d
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 3
