Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /s "<Текущая директория>\151648.tmp"
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\151754.zip
- <Текущая директория>\151754\qax5snxmbjuzit.dll
Удаляет следующие файлы
- <Текущая директория>\151754.zip
Перемещает следующие файлы
- <Текущая директория>\151754\qax5snxmbjuzit.dll в <Текущая директория>\151648.tmp
- <Текущая директория>\151648.tmp в <SYSTEM32>\nmtegzcoasmr\iirikc.dll
Сетевая активность
Подключается к
- 'gd##roup.vn':80
- 'su####ercity.com.mx':443
- 'co####erationciq.fr':80
- 'ho####nchuyengia.vn':80
- 'sp#######outdooradventures.org':80
- 'sp#######outdooradventures.org':443
- 'fo##.#imiastko.pl':80
- 'sa#####nternational.com':443
- 'pk#.goog':80
- 'te####guitare.com':80
- '20#.#26.85.32':8080
- '18#.#3.160.88':80
- '16#.#72.199.165':8080
- '16#.#0.222.65':443
- '10#.#68.155.143':8080
- '21#.#39.212.5':443
TCP
Запросы HTTP GET
- http://gd##roup.vn/wp-admin/0ipWMQYggLOD8Waf/?15########
- http://co####erationciq.fr/images/8RIFr/?15########
- http://ho####nchuyengia.vn/wp-admin/5T5JbWaulO/?15########
- http://sp#######outdooradventures.org/cgi-bin/gftJn/?15########
- http://fo##.#imiastko.pl/wordpress/2zrLzAV/?15########
- http://pk#.goog/gsr1/gsr1.crt
- http://te####guitare.com/forum/vjAk1CX/?15########
Другие
- 'su####ercity.com.mx':443
- 'sp#######outdooradventures.org':443
- 'sa#####nternational.com':443
- '16#.#72.199.165':8080
UDP
- DNS ASK gd##roup.vn
- DNS ASK su####ercity.com.mx
- DNS ASK co####erationciq.fr
- DNS ASK ho####nchuyengia.vn
- DNS ASK sp#######outdooradventures.org
- DNS ASK fo##.#imiastko.pl
- DNS ASK sa#####nternational.com
- DNS ASK pk#.goog
- DNS ASK te####guitare.com
Другое
Запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' "<SYSTEM32>\NmtEgZCOasMR\IIRikc.dll"
