Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
изменяет следующие системные настройки:
- Изменяет DNS-сервер на '114.114.114.114'
- Изменяет DNS-сервер на '<DNS_SERVER>'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ccff.tmp
- %TEMP%\cd3e.tmp
- %TEMP%\cd5e.tmp
- %TEMP%\ce1a.tmp
Удаляет следующие файлы
- %TEMP%\ccff.tmp
- %TEMP%\cd3e.tmp
- %TEMP%\cd5e.tmp
- %TEMP%\ce1a.tmp
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'perfmon.exe'
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c wmic BASEBOARD get product/value' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c wmic Path Win32_DisplayConfiguration get DeviceName/value' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c wmic cpu get ProcessorId/value' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c wmic DISKDRIVE get Signature/value' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c wmic BASEBOARD get product/value
- '%WINDIR%\syswow64\wbem\wmic.exe' BASEBOARD get product/value
- '%WINDIR%\syswow64\cmd.exe' /c wmic Path Win32_DisplayConfiguration get DeviceName/value
- '%WINDIR%\syswow64\wbem\wmic.exe' Path Win32_DisplayConfiguration get DeviceName/value
- '%WINDIR%\syswow64\cmd.exe' /c wmic cpu get ProcessorId/value
- '%WINDIR%\syswow64\wbem\wmic.exe' cpu get ProcessorId/value
- '%WINDIR%\syswow64\cmd.exe' /c wmic DISKDRIVE get Signature/value
- '%WINDIR%\syswow64\wbem\wmic.exe' DISKDRIVE get Signature/value
