Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] ' __-_1b02' = '"%ALLUSERSPROFILE%\__-_1b02\ __-_1b02.exe"'
Вредоносные функции
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\__-_1b02\bit3e66.tmp
- %ProgramFiles%\__-_1b02\libeay32.dll
- %ProgramFiles%\__-_1b02\ssleay32.dll
- %ProgramFiles%\__-_1b02\dbghelp.dll
- %ProgramFiles%\__-_1b02\dump.dmp
- %ProgramFiles%\__-_1b02\dump2.dmp
- %ProgramFiles%\__-_1b02\borlndmm.dll
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\__-_1b02\bit3e66.tmp
Удаляет следующие файлы
- %ALLUSERSPROFILE%\__-_1b02\ __-_1b02.zip
Перемещает следующие файлы
- %ALLUSERSPROFILE%\__-_1b02\bit3e66.tmp в %ALLUSERSPROFILE%\__-_1b02\ __-_1b02.zip
Сетевая активность
Подключается к
- 'mo#####.##-eu-west-1.amazonaws.com':443
- 'docs.google.com':443
- 'do##########cstext.googleusercontent.com':443
- 'lo####zaip.com.br':443
TCP
- 'mo#####.##-eu-west-1.amazonaws.com':443
- 'docs.google.com':443
- 'do##########cstext.googleusercontent.com':443
- 'lo####zaip.com.br':443
UDP
- DNS ASK mo#####.##-eu-west-1.amazonaws.com
- DNS ASK docs.google.com
- DNS ASK do##########cstext.googleusercontent.com
- DNS ASK lo####zaip.com.br
- DNS ASK go##e.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c echo %charpool:~1,1%
- '<SYSTEM32>\cmd.exe' /c echo %charpool:~11,1%
- '<SYSTEM32>\cmd.exe' /c echo %charpool:~0,1%
- '<SYSTEM32>\cmd.exe' /c echo %charpool:~2,1%
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe'
