Техническая информация
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://73.###.19.89:8081/The_Speed_Of_Trust.htm
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /k start iexplore http://73.###.19.89:8081/The_Speed_Of_Trust.htm
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012021062520210626\index.dat
- %TEMP%\vgx3764.tmp
- %TEMP%\vgx3978.tmp
- %TEMP%\vgx39c7.tmp
- %TEMP%\vgx3cd4.tmp
Сетевая активность
Подключается к
- '73.##3.19.89':8081
TCP
Запросы HTTP GET
- http://73.###.19.89:8081/The_Speed_Of_Trust_files/image001.png via 73.##3.19.89
- http://73.###.19.89:8081/The_Speed_Of_Trust_files/image004.png via 73.##3.19.89
- http://73.###.19.89:8081/favicon.ico via 73.##3.19.89
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /k start iexplore http://73.###.19.89:8081/The_Speed_Of_Trust.htm' (со скрытым окном)
