Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1468
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\3b49b.xsl
- %TEMP%\1199320.cvr
- %WINDIR%\temp\widyc.dll
Сетевая активность
Подключается к
- 'au###laser.com':443
- 'fu###npe.org':443
- 'le#####fgooddeeds.com':80
TCP
Запросы HTTP GET
- http://le#####fgooddeeds.com/wp-includes/js/tinymce/themes/inlite/HQfVfwoKlw4Qb.php
Другие
- 'au###laser.com':443
- 'fu###npe.org':443
UDP
- DNS ASK ne###a-store.ir
- DNS ASK au###laser.com
- DNS ASK ba####otmind.org
- DNS ASK we###nd.org.ng
- DNS ASK fu###npe.org
- DNS ASK le#####fgooddeeds.com
Другое
Ищет следующие окна
- ClassName: 'conSolEWiNDOWCLass' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\wbem\wmic.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\wbem\wmic.exe'
- '<SYSTEM32>\rundll32.exe' C:/Windows/Temp//widyc.dll DllRegisterServer
