Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\firefox default browser agent 4fcdf15c426dc0cf
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- 4f67.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\hadac_newsletter_july_2010_final.docx
- %HOMEPATH%\desktop\13.jpeg
- %HOMEPATH%\desktop\thlps_keeper_mayer_1965.docx
- %HOMEPATH%\desktop\dial.bmp
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\vfrsvbe
- %TEMP%\4f67.exe
- %TEMP%\4da9.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\vfrsvbe
Самоудаляется.
Сетевая активность
Подключается к
- 'fi#####in-host-12.com':80
- 'pr#######ools-for-you-802.com':80
- 'ze##t.top':80
- 'cd#.##scordapp.com':443
- 'tr##sfer.sh':443
- 'wo#####ntertainment.com':443
- 'dl.###oadgram.me':443
TCP
Запросы HTTP GET
- http://ze##t.top/dl/buildz.exe
- http://pr#######ools-for-you-802.com/downloads/toolspab1.exe
Запросы HTTP POST
- http://fi#####in-host-12.com/
Другие
- 'cd#.##scordapp.com':443
- 'tr##sfer.sh':443
- 'wo#####ntertainment.com':443
- 'dl.###oadgram.me':443
UDP
- DNS ASK ho#####ta-coin-11.com
- DNS ASK fi#####in-host-12.com
- DNS ASK pr#######ools-for-you-802.com
- DNS ASK ze##t.top
- DNS ASK cd#.##scordapp.com
- DNS ASK tr##sfer.sh
- DNS ASK wo#####ntertainment.com
- DNS ASK js##cd.link
- DNS ASK dl.###oadgram.me
Другое
Создает и запускает на исполнение
- '%TEMP%\4f67.exe'
- '%TEMP%\4da9.exe'
- '%ALLUSERSPROFILE%\dkgxou\qurizz.exe' ' (со скрытым окном)
