Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\systray.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\psf6e0tvdh7k07m.exe
- <Текущая директория>\config.ini
Перемещает следующие файлы
- <Полный путь к файлу> в %TEMP%\psf6e0tvdh7k07m\....\psf6e0tvdh7k07m
Самоудаляется.
Сетевая активность
Подключается к
- 'o4##2f.cn':1219
- 'o4##2f.cn':9004
TCP
Запросы HTTP GET
- http://o4###f.cn:1219/Data/41OJ6Y2Q1124NALNNS1SlSQVY4SA1S2NEYV2CS6JQSVELYSSAlCAJSSVSLA1llQNASVlCLSNOQSQlJJJ1Y22lA1E144ONV2Y6ClS46LYN4V2VNYC1SYY32303231C4EA37D4C239C8D53130CAB13333B7D63139C3EB.t...
- http://o4###f.cn:1219/001/Tips.txt?49#### via o4##2f.cn
UDP
- DNS ASK o4##2f.cn
Другое
Ищет следующие окна
- ClassName: 'Progman' WindowName: 'Program Manager'
- ClassName: 'CrossFire' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\systray.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\systray.exe'
