Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\prosper3512.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\autochk.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\prosper3512.exe
- %TEMP%\nshc10e.tmp
- %TEMP%\02vqprgl0atfidc
- %TEMP%\wkxohdeyqvvyr
- %TEMP%\nsxc11f.tmp\system.dll
Удаляет следующие файлы
- %APPDATA%\prosper3512.exe
Сетевая активность
Подключается к
- 'ca##inz.ga':80
- 'up###esz.com':80
- 'kl#####gcleaning.com':80
- 'ms##2.com':80
- 'bu###r-ff.com':80
- 'te#####arningpods.com':80
UDP
- DNS ASK ca##inz.ga
- DNS ASK up###esz.com
- DNS ASK kl#####gcleaning.com
- DNS ASK ms##2.com
- DNS ASK bu###r-ff.com
- DNS ASK te#####arningpods.com
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%APPDATA%\prosper3512.exe"
