Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\svchost.exe
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\sysb135.tmp
Самоудаляется.
Сетевая активность
Подключается к
- '19#.#24.181.169':80
- 'co###a.com.ua':80
- 'co###a.com.ua':443
- 'microsoft.com':80
- 'x1.#.lencr.org':80
- 'r3.#.lencr.org':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
- http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgN%2BXaNTb0RDD3jrxQkZ3rQzIw%3D%3D
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
Запросы HTTP POST
- http://91.##4.33.206/main.php
Другие
- 'co###a.com.ua':443
UDP
- DNS ASK co###a.com.ua
- DNS ASK microsoft.com
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
- DNS ASK vk##ah.eu
- DNS ASK na##d.fr
- DNS ASK ex##bmdc.pw
- DNS ASK rn###tnpuly.fr
- DNS ASK ja###akxsu.be
- DNS ASK wp####xpgdfrt.it
Другое
Создает и запускает на исполнение
- '%TEMP%\svchost.exe'
- '%TEMP%\svchost.exe' ' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C del /Q /F "%TEMP%\sysB135.tmp"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C del /Q /F "%TEMP%\sysB135.tmp"
