Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- vawbnbwg.exe
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\vawbnbwg.exe
- %TEMP%\qrjatydimo.tmp
- %TEMP%\fugclqurclqe.tmp
- %APPDATA%\microsoft\ulhgvcdmsc\d06363ca
- %TEMP%\cdrhvqsuwbvntm.tmp
- %APPDATA%\microsoft\ulhgvcdmsc\d06367b2
- %TEMP%\ryktdlwixoqlds.tmp
- <SYSTEM32>\d0632163
Удаляет следующие файлы
- %TEMP%\qrjatydimo.tmp
- %TEMP%\fugclqurclqe.tmp
- %TEMP%\cdrhvqsuwbvntm.tmp
- %TEMP%\ryktdlwixoqlds.tmp
Сетевая активность
Подключается к
- '16#.com':80
TCP
Запросы HTTP GET
- http://ve#.##-pinshang.com/Version.ini
- http://cf#.###hishiminyao.com/Config.ini
- http://co##.##ngdianznkj.com/Hsvt.dat
- http://co##.##ngdianznkj.com/Hds.dat
- http://ip.##.126.net/ipquery
UDP
- DNS ASK 16#.com
- DNS ASK ve#.##-pinshang.com
- DNS ASK cf#.###hishiminyao.com
- DNS ASK co##.##ngdianznkj.com
- DNS ASK ip.##.126.net
- DNS ASK co##.###vatorbigdata.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\vawbnbwg.exe'
