Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\Temp\l7teyh990.exe'
- '<LS_APPDATA>\{PEV72X9X-GZ1T-SO57-LJ0X-3U477DI7G1IJ}\ys4ji7azpops.exe'
- '<LS_APPDATA>\Temp\l7teyh990.exe' (загружен из сети Интернет)
- '<LS_APPDATA>\{PEV72X9X-GZ1T-SO57-LJ0X-3U477DI7G1IJ}\ys4ji7azpops.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /C <Текущая директория>\<Имя вируса>.bat
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\<Имя вируса>.pdf
- <LS_APPDATA>\Temp\<Имя вируса>.pdf
- <Текущая директория>\<Имя вируса>.bat
- <LS_APPDATA>\{PEV72X9X-GZ1T-SO57-LJ0X-3U477DI7G1IJ}\ys4ji7azpops.exe
- <LS_APPDATA>\Temp\l7teyh990.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'we#####xfree2013.com':80
- 'sa#####markenting.com':80
TCP:
Запросы HTTP GET:
- sa#####markenting.com/bat/assistente.jpg
- sa#####markenting.com/bat/cargochefe.jpg
Запросы HTTP POST:
- we#####xfree2013.com/adm/contador.php
UDP:
- DNS ASK we#####xfree2013.com
- DNS ASK sa#####markenting.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'TFrmDeathsgn' WindowName: ''
