Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\firefox default browser agent 2b37a79e7174433b
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- 889f.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\wcibwcr
- %TEMP%\889f.exe
- %TEMP%\d98.exe
- %TEMP%\addinprocess32.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\wcibwcr
Самоудаляется.
Сетевая активность
Подключается к
- 'fi#####in-host-12.com':80
- 'pr#######ools-for-you-100.xyz':80
- 'ze##t.top':80
- 'cd#.##scordapp.com':443
- 'tr##sfer.sh':443
- 'wo#####ntertainment.com':443
- 'an###iles.com':443
- 'un###wndsl.com':80
TCP
Запросы HTTP GET
- http://ze##t.top/dl/buildz.exe
- http://un###wndsl.com/file/UDSGATE.exe
- http://pr#######ools-for-you-100.xyz/downloads/toolspab3.exe
Запросы HTTP POST
- http://fi#####in-host-12.com/
Другие
- 'cd#.##scordapp.com':443
- 'tr##sfer.sh':443
- 'wo#####ntertainment.com':443
- 'an###iles.com':443
UDP
- DNS ASK ho#####ta-coin-11.com
- DNS ASK fi#####in-host-12.com
- DNS ASK pr#######ools-for-you-100.xyz
- DNS ASK ze##t.top
- DNS ASK cd#.##scordapp.com
- DNS ASK tr##sfer.sh
- DNS ASK wo#####ntertainment.com
- DNS ASK an###iles.com
- DNS ASK un###wndsl.com
Другое
Создает и запускает на исполнение
- '%TEMP%\889f.exe'
- '%TEMP%\d98.exe'
- '%TEMP%\addinprocess32.exe'
