Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1452
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\11560.xsl
- %TEMP%\1190381.cvr
- %WINDIR%\temp\5j3h9.dll
Сетевая активность
Подключается к
- 'cu#####istributions.com':443
- 'el#####cardsystems.com':80
TCP
Запросы HTTP GET
- http://el#####cardsystems.com/plugins/vmcustom/specification/specification/tmpl/R674L7LjbwF.php
Другие
- 'cu#####istributions.com':443
UDP
- DNS ASK si###.####apropertylistingsea.com
- DNS ASK cu#####istributions.com
- DNS ASK ka######ashramlimbdi.com
- DNS ASK el#####cardsystems.com
Другое
Ищет следующие окна
- ClassName: 'coNSOLEWInDOWCLASs' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\wbem\wmic.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\wbem\wmic.exe'
- '<SYSTEM32>\rundll32.exe' C:/Windows/Temp//5j3h9.dll DllRegisterServer
