Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "%TEMP%\A9R1izbvem_113ur9l_1y0.tmp\1231.docx"
Внедряет код в
следующие пользовательские процессы:
- rdrcef.exe
Изменяет следующие настройки браузера Windows Internet Explorer
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1400' = '00000003'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1C00' = '00000000'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\a9r1izbvem_113ur9l_1y0.tmp\1231.docx
- %LOCALAPPDATA%\adobe\acrocef\dc\acrobat\cookie\cookies-journal
- %TEMP%\etilqs_e5zejufaxripff7
- %LOCALAPPDATA%\adobe\acrocef\dc\acrobat\cookie\cookies
- %TEMP%\a9ryqhcx7_113ur9n_1y0.tmp
Сетевая активность
Подключается к
- 'cd#####.anonfiles.com':443
TCP
Другие
- 'cd#####.anonfiles.com':443
UDP
- DNS ASK cd#####.anonfiles.com
