Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /IM explorer.exe -f
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cab8729.tmp
- %WINDIR%\temp\tar872a.tmp
Удаляет следующие файлы
- %WINDIR%\temp\cab8729.tmp
- %WINDIR%\temp\tar872a.tmp
Сетевая активность
Подключается к
- 'le####ownload.xyz':80
- 'go#####analytics.com':443
- 'microsoft.com':80
- 'oc##.thawte.com':80
TCP
Запросы HTTP GET
- http://le####ownload.xyz/ixset.php?ip########
- http://le####ownload.xyz/ixpkey.php
- http://le####ownload.xyz/ixptexts.php
- http://le####ownload.xyz/setad.php
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
- http://le####ownload.xyz/ixlive.php?ui###
- http://oc##.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQwF4prw9S7mCbCEHD%2Fyl6nWPkczAQUe1tFz6%2FOy3r9MZIaarbzRutXSFACEEeXTXhzpbyrDS%2BzcBkvzl4%3D
Другие
- 'go#####analytics.com':443
UDP
- DNS ASK ia#.###ysoftware.com
- DNS ASK le####ownload.xyz
- DNS ASK go#####analytics.com
- DNS ASK microsoft.com
- DNS ASK oc##.thawte.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\taskmgr.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\taskmgr.exe'
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /IM explorer.exe -f
