Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\rundll32.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\qruhaepdediwhf.dll
- %TEMP%\ddrofuyqhisf.tmp
Изменяет следующие файлы
- %TEMP%\msi1cfbe.log
- %TEMP%\dd_ndp471-kb4033342-x86-x64-allos-enu_decompression_log.txt
- %TEMP%\aspnetsetup_00003.log
- %TEMP%\jusched.log
- %TEMP%\dd_wcf_ca_smci_20151217_052858_840.txt
- %TEMP%\dotnetfx.log
- %TEMP%\microsoft .net framework 4.7.1 setup_20200610_200621826.html
- %TEMP%\jawshtml.html
- %TEMP%\dd_ndp452-kb2901907-x86-x64-allos-enu_decompression_log.txt
- %TEMP%\msieb217.log
- %TEMP%\adobe_admlogs\adobe_gde.log
- %TEMP%\microsoft .net framework 4.5.2 setup_20151216_212237215.html
- %TEMP%\adobesfx.log
- %TEMP%\aspnetsetup_00000.log
- %TEMP%\dotnetfxsdk.log
Сетевая активность
Подключается к
- '23.##4.253.134':443
- '10#.#34.10.89':443
- 'microsoft.com':80
- '10#.#34.119.29':443
- 'localhost':31195
- 'localhost':1312
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
Другие
- '23.##4.253.134':443
- '10#.#34.119.29':443
UDP
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' %TEMP%\Qruhaepdediwhf.dll,start' (со скрытым окном)
- '<SYSTEM32>\rundll32.exe' "<SYSTEM32>\shell32.dll",#61 31195' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' %TEMP%\Qruhaepdediwhf.dll,start
- '<SYSTEM32>\rundll32.exe' "<SYSTEM32>\shell32.dll",#61 31195
