Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /im "<Имя файла>.exe" /f
Внедряет код в
следующие пользовательские процессы:
- 57662276239.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\{q0xq-j5yur-kjd0-mwewj}\57662276239.exe
- %TEMP%\{q0xq-j5yur-kjd0-mwewj}\25699296825.exe
- %APPDATA%\eskmdkazywudgjbcq\avete.sldx
- %APPDATA%\eskmdkazywudgjbcq\chiamando.sldm
- %APPDATA%\eskmdkazywudgjbcq\rifiutera.wms
- %APPDATA%\eskmdkazywudgjbcq\salire.gif
- %APPDATA%\eskmdkazywudgjbcq\trasporta.wpd
- %APPDATA%\eskmdkazywudgjbcq\fara.exe.com
- %APPDATA%\eskmdkazywudgjbcq\a
Удаляет следующие файлы
- %APPDATA%\eskmdkazywudgjbcq\a
- %APPDATA%\eskmdkazywudgjbcq\rifiutera.wms
Самоудаляется.
Сетевая активность
Подключается к
- 'gc##an.in':80
- 'ka###ja09.top':80
- 'ip###ger.org':80
- 'ip###ger.org':443
- 'fo####measap13.top':443
- 'microsoft.com':80
TCP
Запросы HTTP GET
- http://gc##an.in/stats/remember.php?pu###################
- http://gc##an.in/dlc/distribution.php?pu#########
UDP
- DNS ASK gc##an.in
- DNS ASK ka###ja09.top
- DNS ASK ip###ger.org
- DNS ASK te##te.in
- DNS ASK My#########RFJnrsT.MyZBtoenHSvRFJnrsT
- DNS ASK fo####measap13.top
- DNS ASK microsoft.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\{q0xq-j5yur-kjd0-mwewj}\57662276239.exe'
- '%TEMP%\{q0xq-j5yur-kjd0-mwewj}\25699296825.exe' /mix
- '%APPDATA%\eskmdkazywudgjbcq\fara.exe.com' A
- '%WINDIR%\syswow64\cmd.exe' /c start /I "" "%TEMP%\{Q0XQ-j5Yur-kjd0-MWewJ}\57662276239.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c start /I "" "%TEMP%\{Q0XQ-j5Yur-kjd0-MWewJ}\25699296825.exe" /mix' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c echo zWqOx/mix' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c <SYSTEM32>\cmd.exe < Chiamando.sldm' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /im "<Имя файла>.exe" /f & erase "<Полный путь к файлу>" & exit' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c start /I "" "%TEMP%\{Q0XQ-j5Yur-kjd0-MWewJ}\57662276239.exe"
- '%WINDIR%\syswow64\cmd.exe' /c start /I "" "%TEMP%\{Q0XQ-j5Yur-kjd0-MWewJ}\25699296825.exe" /mix
- '%WINDIR%\syswow64\cmd.exe' /c echo zWqOx/mix
- '%WINDIR%\syswow64\cmd.exe' /c <SYSTEM32>\cmd.exe < Chiamando.sldm
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\findstr.exe' /V /R "^gkTWCJVmZirwoSDFVfRZFsGUdVCQWCptMUQCrWwOuOCDUuIlfOSsyZKXEZFGitDvXYggwqCYhrTQPrZphaBiKSYNlTYrsxGwkyFWS$" Salire.gif
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 30
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /im "<Имя файла>.exe" /f & erase "<Полный путь к файлу>" & exit
