Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\active
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\ccc.exe
- C:\users\public\pictures\29581\act.exe
- C:\users\public\videos\dangtalk.exe
- C:\users\public\pictures\29581\ttvip.exe
- C:\users\public\pictures\29581\libcef.dll
Присваивает атрибут 'скрытый' для следующих файлов
- C:\users\public\pictures\29581\act.exe
- C:\users\public\videos\dangtalk.exe
Перемещает следующие файлы
- C:\users\public\pictures\29581\act.exe в %TEMP%\1066360\....\temporaryfile
- %APPDATA%\ccc.exe в %TEMP%\_@4662.tmp
Сетевая активность
Подключается к
- '5.###nkopq.com':80
- '30##.#mananan.com':3005
TCP
Запросы HTTP GET
- http://5.###nkopq.com/xxx/6/act.ocx
- http://5.###nkopq.com/xxx/6/6.ocx
- http://5.###nkopq.com/xxx/aa.ocx
- http://5.###nkopq.com/xxx/6/libcef.dll
UDP
- DNS ASK 5.###nkopq.com
- DNS ASK 30##.#mananan.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\ccc.exe'
- 'C:\users\public\pictures\29581\act.exe' 6 23321 fds01234fs56dsfdfafds
- 'C:\users\public\videos\dangtalk.exe'
- 'C:\users\public\pictures\29581\act.exe' 6 23321 fds01234fs56dsfdfafds' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /SC ONLOGON /TN active /F /RL HIGHEST /TR C:\Users\Public\Pictures\29581\ttvip.exe' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Create /SC ONLOGON /TN active /F /RL HIGHEST /TR C:\Users\Public\Pictures\29581\ttvip.exe
