Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\svchost.exe'
Внедряет код в
следующие пользовательские процессы:
- regsvcs.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\svchost.exe
- %TEMP%\9_11\tfpg.ini
- %TEMP%\9_11\ercglijj.icm
- %TEMP%\9_11\uvmtbvex.ppt
- %TEMP%\9_11\pwlrllhgxi.dat
- %TEMP%\9_11\kriqarwb.txt
- %TEMP%\9_11\ljui.docx
- %TEMP%\9_11\nouthas.exe
- %TEMP%\9_11\wdqjdxpt.dll
- %TEMP%\9_11\unthqml.ppt
- %TEMP%\9_11\mgmverdu.log
- %TEMP%\9_11\qdkudrj.docx
- %TEMP%\9_11\jdltdj.xml
- %TEMP%\9_11\rcqaw.pdf
- %TEMP%\9_11\mvkdenb.log
- %HOMEPATH%\temp\pcgmqig.icm
- %TEMP%\9_11\twcv.exe
- %TEMP%\9_11\tfafnnvrk.bmp
- %TEMP%\9_11\guxggaha.docx
- %TEMP%\9_11\mjsdnti.exe
- %TEMP%\9_11\xsegnjp.dll
- %TEMP%\9_11\dvjgthuj.xml
- %TEMP%\9_11\oatgoij.exe
- %TEMP%\9_11\dbwnhwrqep.xl
- %TEMP%\9_11\efhmtrsbch.pdf
- %TEMP%\9_11\dfjowl.xl
- %TEMP%\9_11\frmbjhqg.exe
- %TEMP%\9_11\fdfjr.vbe
- %TEMP%\9_11\qqojfopqig.vwr
- %TEMP%\9_11\pcgmqig.icm
- %TEMP%\9_11\qhrrqmweh.uci
- %TEMP%\9_11\xabddvkvu.dat
- %TEMP%\regsvcs.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\9_11\frmbjhqg.exe
Сетевая активность
Подключается к
- 'os########ntal.no.ww18.online4u.no':80
TCP
Запросы HTTP GET
- http://os########ntal.no.ww18.online4u.no/wp-includes/ID2/ups/MT5051100037.exe
UDP
- DNS ASK os########ntal.no.ww18.online4u.no
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\9_11\fdfjr.vbe"
- '%TEMP%\9_11\frmbjhqg.exe' qqojfopqig.vwr
- '%TEMP%\regsvcs.exe'
