Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\taskkill.exe /F /IM firefox.exe
Завершает или пытается завершить
следующие пользовательские процессы:
- firefox.exe
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- C:\t.txt
- %TEMP%\V9Zip_000\firefox\chrome\content\ff-overlay.xul
- %TEMP%\V9Zip_000\firefox\chrome\content\ff-overlay.js
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\extensions\{14323AEE-F6B8-4DC8-BCE3-E62645830585}.xpi
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\extensions.sqlite-journal
- %TEMP%\V9Zip_000\newtab.xpi
- %TEMP%\V9Zip_000\chrome\key\newtab.pem
- %TEMP%\V9Zip_000\sConfig.ini
- %TEMP%\V9Zip_000\deskdl.exe
- %TEMP%\V9Zip_000\4.ico
- %TEMP%\V9Zip_000\firefox\install.rdf
- %TEMP%\V9Zip_000\firefox\chrome.manifest
- %TEMP%\V9Zip_000\chrome\novo_price_comparison.crx
Удаляет следующие файлы:
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\extensions.sqlite-journal
Сетевая активность:
Подключается к:
- 'xa.###gcloud.com':80
TCP:
Запросы HTTP GET:
- xa.###gcloud.com/v4/apple/VMwareXVirtualXIDEXHardXDrive_11000000000000000001?ac##############################################################################################################################
UDP:
- DNS ASK xa.###gcloud.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
- ClassName: 'Chrome_WidgetWin_1' WindowName: ''
- ClassName: 'Chrome_WidgetWin_0' WindowName: ''
