Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\firefox default browser agent 78964a219cc632ca
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\teadaut
- %APPDATA%\hijgerc
- %TEMP%\84c8.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\teadaut
- %APPDATA%\hijgerc
Самоудаляется.
Сетевая активность
Подключается к
- 'ho#####hwugh2gie.com':80
- '45.##.157.136':80
- 't.#e':443
- 'st####ommunity.com':443
- 'tr##sfer.sh':443
- 'ti##url.com':443
- 'gi##ub.com':443
- 'microsoft.com':80
TCP
Запросы HTTP GET
- http://45.##.157.136/shared/Ruzvelt.exe
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
Запросы HTTP POST
- http://ho#####hwugh2gie.com/
Другие
- 't.#e':443
- 'st####ommunity.com':443
- 'tr##sfer.sh':443
- 'ti##url.com':443
- 'gi##ub.com':443
UDP
- DNS ASK ho#####hwugh2gie.com
- DNS ASK t.#e
- DNS ASK st####ommunity.com
- DNS ASK tr##sfer.sh
- DNS ASK ti##url.com
- DNS ASK gi##ub.com
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '%TEMP%\84c8.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe'
- '%WINDIR%\explorer.exe'
