Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe connect
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\rundll32.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\logrdeventsmaxo3.cfg
Сетевая активность:
Подключается к:
- 'www.em######alback.xpg.com.br':80
- 'bi#.ly':80
- 'www.te#####2010.xpg.com.br':80
- 'www.em#####zeze.xpg.com.br':80
TCP:
Запросы HTTP GET:
- www.em######alback.xpg.com.br/emaildomalback.txt
- www.em#####zeze.xpg.com.br/emaildozeze.txt
- www.te#####2010.xpg.com.br/tessado2010.txt
Запросы HTTP POST:
- bi#.ly/10CgA6m?
UDP:
- DNS ASK www.em######alback.xpg.com.br
- DNS ASK bi#.ly
- DNS ASK www.te#####2010.xpg.com.br
- DNS ASK www.em#####zeze.xpg.com.br
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'rundll32.exe'
