Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\finger.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\k36qu62plflkph1.exe
- <Текущая директория>\config.ini
Перемещает следующие файлы
- <Полный путь к файлу> в %TEMP%\k36qu62plflkph1\....\k36qu62plflkph1
Самоудаляется.
Сетевая активность
Подключается к
- 'be####tel360.com':1219
- 'o4##2f.cn':1219
- 'ap#.#p138.com':80
- 'o4##2f.cn':9004
TCP
Запросы HTTP GET
- http://o4###f.cn:1219/Data/6gLy01lEFVslfYZ2hdcogbQHock5kA8jBsHY0siPcN8goW1WwSmxOqleY0TW0YC4jzuwrX713dloVUCDDxoJ2gx32TBu5j7d0DsYJWzzuEEfdL32303231C4EA37D4C23330C8D537CAB13335B7D63538C3EB.txt?48#...
- http://www.be#####el360.com:1219/001/Tips.txt?50#### via be####tel360.com
- http://www.be#####el360.com:9004/HttpApiGb.ashx?ac###############################################################################################################################################...
- http://www.be#####el360.com:9004/HttpApiGb.ashx?ac################# via be####tel360.com
UDP
- DNS ASK be####tel360.com
- DNS ASK o4##2f.cn
- DNS ASK ap#.#p138.com
Другое
Ищет следующие окна
- ClassName: 'Progman' WindowName: 'Program Manager'
- ClassName: 'CrossFire' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\finger.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\finger.exe'
