Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\mybinder.lnk
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%ALLUSERSPROFILE%\mybinder.exe'
Запускает на исполнение (эксплоит)
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1668
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\mybinder.exe
- %HOMEPATH%\documents\vb2c21.tmp
- %TEMP%\471013.cvr
Удаляет следующие файлы
- %TEMP%\vb2c11.tmp
Перемещает следующие файлы
- %HOMEPATH%\documents\vb2c21.tmp в %TEMP%\vb2c11.tmp
Сетевая активность
Подключается к
- 'iw###cloud.com':80
- '5.###.170.84':3901
TCP
Запросы HTTP POST
- http://iw###cloud.com/Pick@Whatsoever/Mac.php
UDP
- DNS ASK iw###cloud.com
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\mybinder.exe' ' (со скрытым окном)
