Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\odinakazxc682.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- odinakazxc682.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\odinakazxc682.exe
Удаляет следующие файлы
- %APPDATA%\odinakazxc682.exe
Сетевая активность
Подключается к
- 'eu###das.com':80
- 'wh##fxj.com':80
- 're###rpro.com':80
- 'sh###2ship.com':80
- 'ki####nful-dg.com':80
- 'eb###folly.com':80
- 'sc####physician.com':80
- 'ph###astery.com':80
- '4h###its.com':80
TCP
Запросы HTTP GET
- http://www.wa#####wearafrica.com/9t6k/?y4############################################################################################
- http://www.bl#####lturewriters.com/9t6k/?y4############################################################################################
UDP
- DNS ASK fa###cheo.tk
- DNS ASK eu###das.com
- DNS ASK wh##fxj.com
- DNS ASK re###rpro.com
- DNS ASK sh###2ship.com
- DNS ASK aa###nline.com
- DNS ASK ga###etsl.com
- DNS ASK ki####nful-dg.com
- DNS ASK eb###folly.com
- DNS ASK sc####physician.com
- DNS ASK wa#####wearafrica.com
- DNS ASK bl#####lturewriters.com
- DNS ASK am###tur.com
- DNS ASK ph###astery.com
- DNS ASK cp###ivera.com
- DNS ASK 4h###its.com
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\wininit.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%APPDATA%\odinakazxc682.exe"
