Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' "C:\Earth\ConvertShort.vbe"
Запускает на исполнение (эксплоит)
- '%WINDIR%\explorer.exe' c:\Earth\ConvertShort.vbe
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\wermgr.exe
Изменения в файловой системе
Создает следующие файлы
- C:\earth\convertshort.vbe
- C:\earth\contactmanager.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://wt###myip.com/text
UDP
- DNS ASK wt###myip.com
- DNS ASK 19#.###.#11.95.zen.spamhaus.org
- DNS ASK 19#.###.#11.95.cbl.abuseat.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "C:\Earth\ConvertShort.vbe"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' C:\Earth\ContactManager.dll,DllRegisterServer
- '<SYSTEM32>\wermgr.exe'
