Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\908.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
- Процесс iexplore.exe, модуль wininet.dll
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\autoconv.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\908.exe
Удаляет следующие файлы
- C:\users\public\908.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://bi#.ly/3dwhkZ1
- http://al####asaludspa.com/1/cyber.jpg
- http://www.ow###illa.com/bpi/?7n#####################################################################################
- http://www.va####etdidine.com/bpi/?7n#####################################################################################
- http://www.pe######leymarketing.com/bpi/?7n#####################################################################################
- http://www.be####ndsmiles.com/bpi/?7n#####################################################################################
UDP
- DNS ASK bi#.ly
- DNS ASK al####asaludspa.com
- DNS ASK ow###illa.com
- DNS ASK cj###xkch.icu
- DNS ASK va####etdidine.com
- DNS ASK pe######leymarketing.com
- DNS ASK mr###lnsus.com
- DNS ASK be####ndsmiles.com
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\systray.exe'
- '%WINDIR%\syswow64\cmd.exe' del "C:\Users\Public\908.exe"
