Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\<Имя файла>.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
- %TEMP%\<Имя файла>.exe
Сетевая активность
Подключается к
- '12#.#1.22.165':80
- '12#.#1.22.165':8088
- '12#.#1.11.71':80
- 'do##in.com':80
- 'do##in.com':443
TCP
Запросы HTTP GET
- http://12#.#1.11.71/admin/Aug.txt
- http://www.do##in.com/discover?mo##########################
- http://12#.#1.22.165//admin/down/favicon.ico
- http://www.do##in.com/video/7003269470936452387
- http://www.do##in.com/user/MS4wLjABAAAAumvAfskbDW1CB77yOudtt4ecmpi3Mkdm8XCkrTfRZPQ?mo##########################
- http://www.do##in.com/user/MS4wLjABAAAACtgTBZgVSHmIIH-GKFNLzcRFx4-1v2heUwNEHEdbmmQ?mo##########################
- http://www.do##in.com/video/7024375604229393694
- http://www.do##in.com/video/7111913156028550431
- http://www.do##in.com/video/6954664045907692835
- http://www.do##in.com/video/7116733238676081951
- http://www.do##in.com/video/7011699451899186462
Запросы HTTP POST
- http://12#.#1.22.165//admin/?c=##############
- http://12#.#1.22.165//admin/?c=####################
- http://12#.#1.22.165//admin/?c=################
- http://12#.#1.22.165//admin/?c=###############
Другие
- '12#.#1.22.165':8088
- 'do##in.com':443
UDP
- DNS ASK do##in.com
Другое
Ищет следующие окна
- ClassName: 'vguiPopupWindow' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\<Имя файла>.exe'
- '%TEMP%\<Имя файла>.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del<Полный путь к файлу> > nul' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del<Полный путь к файлу> > nul
