Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\wbem\wmic.exe' process call create 'rundll32.exe "%APPDATA%\44039.dll" DllCanUnloadNow'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\44039.dll
Сетевая активность
Подключается к
- 'ou###mm.co.uk':443
- 'di###tnews.net':443
- 'ab####akir.co.uk':443
- 'sh####joseph.com':443
- 'ta####onsciente.net':443
- 'br#######s.gunwebhosting.com.au':443
- 'ad##t.com':443
- 'x1.#.lencr.org':80
- 'r3.#.lencr.org':80
TCP
- 'ad##t.com':443
UDP
- DNS ASK ou###mm.co.uk
- DNS ASK di###tnews.net
- DNS ASK ab####akir.co.uk
- DNS ASK sh####joseph.com
- DNS ASK ta####onsciente.net
- DNS ASK br#######s.gunwebhosting.com.au
- DNS ASK ad##t.com
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wbem\wmic.exe' process call create 'rundll32.exe "%APPDATA%\44039.dll" DllCanUnloadNow'' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' "%APPDATA%\44039.dll" DllCanUnloadNow
