Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\mz_etilqs_bifwh1zav1eouwq
- %TEMP%\mz_etilqs_78ezqwhomn8ofdp
- %TEMP%\mz_etilqs_gvsfznnyot5ie45
- %TEMP%\mz_etilqs_7f31fair2dhhdup
- %TEMP%\mz_etilqs_iyeslzq80qecmoh
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
Самоудаляется.
Сетевая активность
Подключается к
- '20#.#35.100.66':8023
- 'ip##8.com':80
- 'ip##8.com':443
- 'oc##.#igicert.cn':80
- '20#.#35.100.66':8712
- 'fe########alog-cdn.prod.mozaws.net':443
- '20#.#35.100.66':8024
- '20#.#35.100.66':8710
- '43.##8.184.246':8212
TCP
Запросы HTTP GET
- http://20#.##5.100.66:8023/ID21/20-50-87-D4-FA-15.txt via 20#.#35.100.66
- http://www.ip##8.com/
- http://oc##.#igicert.cn/MFEwTzBNMEswSTAJBgUrDgMCGgUABBSAUQYBMq2awn1Rh6Doh%2FsBYgFV7gQUA95QNVbRTLtm8KPiGxvDl7I90VUCEAL34fmCutAJr%2FR9yVdBsvY%3D
- http://oc##.#igicert.cn/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRc9osyRBU0ybHlZFuU293oOS1mlwQUBr2mm2B5UDG%2B1akCSqDQlVOLLzQCEAKqzFgaJ9oDsO6Sg7ohgeQ%3D
- http://20##.ip138.com/
- http://20#.##5.100.66:8024/ID21/20-50-87-D4-FA-15.txt via 20#.#35.100.66
Другие
- 'ip##8.com':443
- '20#.#35.100.66':8712
- '20#.#35.100.66':8710
UDP
- DNS ASK ip##8.com
- DNS ASK oc##.#igicert.cn
- DNS ASK 20##.ip138.com
- DNS ASK fe########alog-cdn.prod.mozaws.net
- DNS ASK dy#b.sb
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe'
