Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\documents\unzip.lnk
- C:\users\public\documents\server.vbe
- C:\users\public\documents\dllhosts.exe
- C:\users\public\documents\tasloginbase.dll
- C:\users\public\documents\update.lnk
Самоудаляется.
Сетевая активность
Подключается к
- 'de.####.#icrosoftmiddlename.tk':80
TCP
Запросы HTTP GET
- http://de.####.#icrosoftmiddlename.tk/imgfile/176.88.log
- http://de.####.#icrosoftmiddlename.tk/imgfile/Server.vbe
- http://de.####.#icrosoftmiddlename.tk/imgfile/systems.exe
- http://de.####.#icrosoftmiddlename.tk/imgfile/TASLoginBase.dll
- http://de.####.#icrosoftmiddlename.tk/imgfile/2.txt
UDP
- DNS ASK de.####.#icrosoftmiddlename.tk
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "C:\Users\Public\Documents\Server.vbe"
- 'C:\users\public\documents\dllhosts.exe'
- '%WINDIR%\syswow64\cmd.exe' /c C://Users//Public//Documents//Server.vbe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del /q <Полный путь к файлу>' (со скрытым окном)
- 'C:\users\public\documents\dllhosts.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c C://Users//Public//Documents//Server.vbe
- '%WINDIR%\syswow64\cmd.exe' /c del /q <Полный путь к файлу>
