Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\dashborder_96.bmp
- %HOMEPATH%\desktop\archer.avi
- %HOMEPATH%\desktop\issi2013_template_for_posters.docx
- %HOMEPATH%\desktop\holycrosschurchinstructions.docx
Изменения в файловой системе
Удаляет следующие файлы
- %WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe
Сетевая активность
Подключается к
- 'mi####lmelab.com':80
- 'sh##kjw.com':80
- 'us####roscopy.com':80
- 'bo####uyurunuz.com':80
TCP
Запросы HTTP GET
- http://www.sh##kjw.com/ttju/?RF#########################################################################################
- http://www.us####roscopy.com/ttju/?RF#########################################################################################
- http://www.bo####uyurunuz.com/ttju/?RF#########################################################################################
UDP
- DNS ASK mi####lmelab.com
- DNS ASK 7b####23a.website
- DNS ASK sh##kjw.com
- DNS ASK us####roscopy.com
- DNS ASK bo####uyurunuz.com
- DNS ASK cm##ez.com
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe'
- '%WINDIR%\syswow64\help.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%WINDIR%\Microsoft.NET\Framework\v4.0.30319\cvtres.exe"
- '%ProgramFiles(x86)%\mozilla firefox\firefox.exe'
