Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\autofmt.exe
Изменения в файловой системе
Самоудаляется.
Сетевая активность
Подключается к
- 'bi####angladesh.net':80
- 'my#####onbillpay.com':80
- 'xm###mi.store':80
- 'ko###centre.com':80
TCP
Запросы HTTP GET
- http://www.bi####angladesh.net/uevb/?MD##########################################################################################
- http://www.my#####onbillpay.com/uevb/?MD##########################################################################################
- http://www.xm###mi.store/uevb/?MD##########################################################################################
- http://www.ko###centre.com/uevb/?MD##########################################################################################
UDP
- DNS ASK ch####iftassit.com
- DNS ASK bi####angladesh.net
- DNS ASK my#####onbillpay.com
- DNS ASK xm###mi.store
- DNS ASK ko###centre.com
- DNS ASK el######godontologia.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\wlanext.exe'
- '%WINDIR%\syswow64\cmd.exe' del "<Полный путь к файлу>"
