Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' C:\Users\Public\zaim.js
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\zaim.js
Сетевая активность
Подключается к
- 'as#####portglass.shop':80
- 'fo###.#oogleapis.com':80
- 'bl##ger.com':443
- 'go#####analytics.com':443
- 'fo###.gstatic.com':80
TCP
Запросы HTTP GET
- http://www.as#####portglass.shop/p/11.html
- http://fo###.#oogleapis.com/css?fa##################
- http://fo###.gstatic.com/s/opensans/v29/memSYaGs126MiZpBA-UvWbX2vVnXBbObj2OVZyOOSr4dVJWUgsiH0B4gaVY.eot
- http://fo###.gstatic.com/s/materialiconsextended/v138/kJEjBvgX7BgnkSrUwT8UnLVc38YydejYY-oE_LvN.eot
Другие
- 'go#####analytics.com':443
- 'bl##ger.com':443
UDP
- DNS ASK as#####portglass.shop
- DNS ASK fo###.#oogleapis.com
- DNS ASK bl##ger.com
- DNS ASK go#####analytics.com
- DNS ASK fo###.gstatic.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' C:\Users\Public\zaim.js' (со скрытым окном)
- '<SYSTEM32>\mshta.exe' http://www.as#####portglass.shop/p/11.html' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\mshta.exe' http://www.as#####portglass.shop/p/11.html
