Техническая информация
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://mr##ds.com/wp-content/forum-image-uploads/NewDir/qk/access.php
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\cfg.tmp
Изменяет следующие файлы
- %APPDATA%\mozilla\firefox\profiles\gn7ryp3k.default\prefs.js
Сетевая активность
Подключается к
- 'mr##ds.com':80
- 'co##.jquery.com':80
TCP
Запросы HTTP GET
- http://mr##ds.com/wp-content/forum-image-uploads/NewDir/qk/access.php
- http://mr##ds.com/cgi-sys/js/simple-expand.min.js
- http://co##.jquery.com/jquery-3.3.1.min.js
- http://mr##ds.com/cgi-sys/images/x.png
- http://mr##ds.com/cgi-sys/images/404mid.gif
- http://mr##ds.com/cgi-sys/images/404bottom.gif
- http://mr##ds.com/cgi-sys/images/404top_w.jpg
UDP
- DNS ASK mr##ds.com
- DNS ASK co##.jquery.com
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://mr##ds.com/wp-content/forum-image-uploads/NewDir/qk/access.php' (со скрытым окном)
