Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1540
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\390f7.xsl
- %TEMP%\515177.cvr
- %WINDIR%\temp\ebjdv.dll
Сетевая активность
Подключается к
- 'ka#####anitorial.com':443
- 'sh######nterprise.ind.in':80
- 'pr####urgicals.in':80
- 'la####p.localkk.com':443
- 'ta####porate.org':443
- 'ka#####rmimarlik.com.tr':80
- 'mm###mpson.net':443
- 'kl###based.com':80
- 'bi###sanart.com':80
- 've####rksracing.com':80
- 'oc##.thawte.com':80
TCP
- 'ka#####anitorial.com':443
- 'la####p.localkk.com':443
- 'ta####porate.org':443
- 'mm###mpson.net':443
UDP
- DNS ASK ka#####anitorial.com
- DNS ASK sh######nterprise.ind.in
- DNS ASK pr####urgicals.in
- DNS ASK la####p.localkk.com
- DNS ASK ta####porate.org
- DNS ASK ka#####rmimarlik.com.tr
- DNS ASK mm###mpson.net
- DNS ASK kl###based.com
- DNS ASK bi###sanart.com
- DNS ASK ve####rksracing.com
- DNS ASK st####.rapidssl.com
- DNS ASK oc##.thawte.com
Другое
Ищет следующие окна
- ClassName: 'COnSOlewINDowCLAss' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\wbem\wmic.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\wbem\wmic.exe'
- '<SYSTEM32>\rundll32.exe' C:/Windows/Temp//ebjdv.dll InitHelperDll
