Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\holla'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- holla
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\holla
Удаляет следующие файлы
- %TEMP%\holla
Сетевая активность
Подключается к
- '19#.#36.147.189':80
- 'pl####umcsltd.com':80
- 'bi###efi.com':80
- 'as######onenterprises.com':80
- 'ms##ax.com':80
- 'po###est.com':80
- 'cc##yyl.com':80
- 'ww##y.com':80
- 'qu###side.net':80
TCP
Запросы HTTP GET
- http://19#.#36.147.189/jefe/holla.exe
UDP
- DNS ASK ic##a.com
- DNS ASK pl####umcsltd.com
- DNS ASK bi###efi.com
- DNS ASK as######onenterprises.com
- DNS ASK ms##ax.com
- DNS ASK po###est.com
- DNS ASK cc##yyl.com
- DNS ASK nu######gencysuccess.com
- DNS ASK ww##y.com
- DNS ASK qu###side.net
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmmon32.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%TEMP%\holla"
