Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\tx3da48bj261t4cv92
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /im <Имя файла>.exe /f
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\{xibg55tc-lmhm-lmhm-8z41ex27ttwm}\iexplore.exe
Сетевая активность
Подключается к
- 'cl####gion.ddns.net':80
TCP
Запросы HTTP POST
- http://cl####gion.ddns.net/gate/connection.php
- http://cl####gion.ddns.net/gate/config.php
- http://cl####gion.ddns.net/gate/update.php
UDP
- DNS ASK cl####gion.ddns.net
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\{xibg55tc-lmhm-lmhm-8z41ex27ttwm}\iexplore.exe'
- '%ALLUSERSPROFILE%\{xibg55tc-lmhm-lmhm-8z41ex27ttwm}\iexplore.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /SC MINUTE /MO 15 /TN "TX3DA48BJ261T4CV92" /TR "%ALLUSERSPROFILE%\{XIBG55TC-LMHM-LMHM-8Z41EX27TTWM}\iexplore.exe" /F' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /im <Имя файла>.exe /f & erase /c taskkill /im oowsl & exit' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Create /SC MINUTE /MO 15 /TN "TX3DA48BJ261T4CV92" /TR "%ALLUSERSPROFILE%\{XIBG55TC-LMHM-LMHM-8Z41EX27TTWM}\iexplore.exe" /F
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /im <Имя файла>.exe /f & erase /c taskkill /im oowsl & exit
Использует альтернативные потоки данных NTFS
