Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\wbem\wmic.exe' process call create 'rundll32.exe "%APPDATA%\17365.dll" DllCanUnloadNow'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\17365.dll
Сетевая активность
Подключается к
- 'di###tnews.net':443
- 'vi####gomatch.com':443
- 'ma###ico.com':443
- 'oo###hop.com':443
- 'me#####rie-lemoine.bzh':443
- 'r3.#.lencr.org':80
- 'oc##.#tartssl.com':80
TCP
- 'me#####rie-lemoine.bzh':443
UDP
- DNS ASK di###tnews.net
- DNS ASK vi####gomatch.com
- DNS ASK ma###ico.com
- DNS ASK oo###hop.com
- DNS ASK me#####rie-lemoine.bzh
- DNS ASK r3.#.lencr.org
- DNS ASK oc##.#tartssl.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wbem\wmic.exe' process call create 'rundll32.exe "%APPDATA%\17365.dll" DllCanUnloadNow'' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' "%APPDATA%\17365.dll" DllCanUnloadNow
