Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\rundll32.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\pupryhpdpe.tmp
Изменяет следующие файлы
- %TEMP%\msi1cfbe.log
- %TEMP%\dd_vcredist_x86_20151216210157_000_vcruntimeminimum_x86.log
- %TEMP%\msic204f.log
- %TEMP%\dd_ndp471-kb4033342-x86-x64-allos-enu_decompression_log.txt
- %TEMP%\msieb217.log
Сетевая активность
Подключается к
- '23.##6.181.126':443
- '23.##4.224.247':443
- 'microsoft.com':80
- '14#.#1.226.233':443
- 'localhost':18701
- 'localhost':1312
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
Другие
- '23.##6.181.126':443
- '23.##4.224.247':443
- '14#.#1.226.233':443
UDP
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' "<Полный путь к файлу>",Dwtqsurfypwqsr' (со скрытым окном)
- '<SYSTEM32>\rundll32.exe' "<SYSTEM32>\shell32.dll",#61 18701' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' "<Полный путь к файлу>",Dwtqsurfypwqsr
- '<SYSTEM32>\rundll32.exe' "<SYSTEM32>\shell32.dll",#61 18701
