Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\53-54
- %TEMP%\ixp000.tmp\8-86
- %TEMP%\ixp000.tmp\3-1
- %TEMP%\ixp000.tmp\18-7
- %TEMP%\ixp000.tmp\09-38
- %TEMP%\ixp000.tmp\sgrmbroker.com
- %TEMP%\ixp000.tmp\u
- %TEMP%\ixp000.tmp\regasm.exe
Удаляет следующие файлы
- %TEMP%\ixp000.tmp\u
- %TEMP%\ixp000.tmp\3-1
- %TEMP%\ixp000.tmp\18-7
- %TEMP%\ixp000.tmp\8-86
- %TEMP%\ixp000.tmp\53-54
- %TEMP%\ixp000.tmp\09-38
- %TEMP%\ixp000.tmp\sgrmbroker.com
Сетевая активность
Подключается к
- '45.##9.236.86':80
UDP
- DNS ASK RC###ce.RCRKice
- DNS ASK tL##########nvujLqjrn.tLUKRlNASZeFnvujLqjrn
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\sgrmbroker.com' U
- '%TEMP%\ixp000.tmp\regasm.exe'
- '%WINDIR%\syswow64\cmd.exe' /c JMgfkD' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c certutil -decode 18-7 09-38 & cmd < 09-38' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c JMgfkD
- '%WINDIR%\syswow64\cmd.exe' /c certutil -decode 18-7 09-38 & cmd < 09-38
- '%WINDIR%\syswow64\certutil.exe' -decode 18-7 09-38
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\ping.exe' -n 1 RCRKice.RCRKice
- '%WINDIR%\syswow64\findstr.exe' /V /R "^VHijIVDBtOaUaSx$" 53-54
- '%WINDIR%\syswow64\certutil.exe' -decode 8-86 U
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 30
