Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\readme.md
- %TEMP%\50x50.jpg
- %TEMP%\download.png
- %TEMP%\yrcvb.dll
- %TEMP%\pktxbqyo.ayp
- %TEMP%\nsxecde.tmp\system.dll
Самоудаляется.
Сетевая активность
Подключается к
- 'pr####ential.today':80
- 'za###ki.trade':80
- 'nb##nch.com':80
- 'au#####rantygurus.com':80
- 'ia##h.com':80
- 'ja###prep.com':80
- 'no#####stcitraland.com':80
TCP
Запросы HTTP GET
- http://www.nu######nalproductions.com/uqf5/?cf################################################################################
UDP
- DNS ASK pr####ential.today
- DNS ASK za###ki.trade
- DNS ASK nb##nch.com
- DNS ASK ba####gxieye.com
- DNS ASK au#####rantygurus.com
- DNS ASK th####italitaim.com
- DNS ASK ia##h.com
- DNS ASK ja###prep.com
- DNS ASK nu######nalproductions.com
- DNS ASK no#####stcitraland.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\netstat.exe'
- '%WINDIR%\syswow64\cmd.exe' del "<Полный путь к файлу>"
