Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\dism.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\6lhefbyrccf.exe
- <Текущая директория>\config.ini
Перемещает следующие файлы
- <Полный путь к файлу> в %TEMP%\6lhefbyrccf\....\6lhefbyrccf
Самоудаляется.
Сетевая активность
Подключается к
- 'o4##2f.cn':1219
- 'o4##2f.cn':9004
TCP
Запросы HTTP GET
- http://o4###f.cn:1219/Data/i7TRiAwV8yo8cVum1fAxTg0cunCAOofE7Z1OEvpOHu0h1WTMw07FW66ApF2T9fUQyQBPGes1oyoNbSiZxl2S7VPc00qy2hzla83WLtJ16XSHZPEv1Y7vnxoewJBl32303231C4EA37D4C23135C8D535CAB130B7D63539...
- http://o4###f.cn:1219/001/Tips.txt?11##### via o4##2f.cn
UDP
- DNS ASK o4##2f.cn
Другое
Ищет следующие окна
- ClassName: 'Progman' WindowName: 'Program Manager'
- ClassName: 'CrossFire' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\dism.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\dism.exe'
