Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\izu782514.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- izu782514.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\izu782514.exe
Удаляет следующие файлы
- %APPDATA%\izu782514.exe
Сетевая активность
Подключается к
- 'ca##inz.gq':80
- 'sc###lzens.com':80
- 'th#####ercomputers.com':80
- 'jq##gw.com':80
- 'sb#####ineacademy.com':80
- 'fe###acasa.com':80
- 'ph###en4u.net':80
- 'vi##ot.com':80
- '80###een.com':80
- 'fa###aro.com':80
- 'ch###lerguo.com':80
- 'va###portal.com':80
- 'gr###pis0n.com':80
TCP
Запросы HTTP GET
- http://www.ih####ammamish.com/ued5/?Tz#####################################################################################
UDP
- DNS ASK ca##inz.gq
- DNS ASK sc###lzens.com
- DNS ASK th#####ercomputers.com
- DNS ASK jq##gw.com
- DNS ASK sb#####ineacademy.com
- DNS ASK fe###acasa.com
- DNS ASK ph###en4u.net
- DNS ASK vi##ot.com
- DNS ASK 80###een.com
- DNS ASK xi###u.store
- DNS ASK fa###aro.com
- DNS ASK ch###lerguo.com
- DNS ASK ih####ammamish.com
- DNS ASK va###portal.com
- DNS ASK gr###pis0n.com
- DNS ASK ea######ationserviceusa.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c timeout 1' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\cmd.exe' /c timeout 1
- '%WINDIR%\syswow64\timeout.exe' 1
- '%WINDIR%\syswow64\netsh.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%APPDATA%\izu782514.exe"
