Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\schtasks.exe' /delete /f /TN "Microsoft\Windows\Customer Experience Improvement Program\Uploader"
- '<SYSTEM32>\wsqmcons.exe'
- '<SYSTEM32>\wbem\WMIADAP.EXE' /F /T /R
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\YF7T7AK2\background_gradient[1]
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\info_48[1]
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\SOXZEUJX\httpErrorPagesScripts[1]
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\BOWDBRP7\bullet[1]
- <SYSTEM32>\LogFiles\Scm\9d774a32-03f6-4092-9d56-19bb0dc4f0e9
- C:\ProgramData\Microsoft\RAC\Temp\sql277C.tmp
- C:\ProgramData\Microsoft\RAC\Temp\sql279D.tmp
- %TEMP%\D7CA.tmp
- %TEMP%\D72D.tmp
- %TEMP%\D69F.tmp
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\BOWDBRP7\cfliandan_com[1]
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\BOWDBRP7\errorPageStrings[1]
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\YF7T7AK2\ErrorPageTemplate[1]
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\navcancl[1]
Удаляет следующие файлы:
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- <SYSTEM32>\Tasks\Microsoft\Windows Defender\MP Scheduled Scan
- %WINDIR%\inf\WmiApRpl\0009\WmiApRpl.ini
- %WINDIR%\inf\WmiApRpl\WmiApRpl.h
- %WINDIR%\inf\WmiApRpl\0019\WmiApRpl.ini
- %TEMP%\D72D.tmp
- %TEMP%\D69F.tmp
- %TEMP%\D7CA.tmp
- C:\ProgramData\Microsoft\RAC\Temp\sql277C.tmp
- C:\ProgramData\Microsoft\RAC\Temp\sql279D.tmp
Сетевая активность:
Подключается к:
- 'www.cf###ndan.com':80
- 'localhost':57572
TCP:
Запросы HTTP GET:
- www.cf###ndan.com/tm.txt
- www.cf###ndan.com/
UDP:
- DNS ASK www.cf###ndan.com
