Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\0535e.exe'
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\0535E.cmd" 0"
Внедряет код в
следующие пользовательские процессы:
- 0535e.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\0535e.tmp
- %TEMP%\0535e.exe
- %TEMP%\0535e.cmd
- nul
Сетевая активность
Подключается к
- 'ig##y.net':80
- 'ap#.##nkedin.com':443
- 'ke######mmings.com':80
- 'in##.#####nvereinhanreitergasse.at':80
- 'as####cionales.com':80
TCP
Запросы HTTP GET
- http://ig##y.net/newsite/mdb.gif
- http://www.ke######mmings.com/form-php/klio.gif
- http://in##.#####nvereinhanreitergasse.at/wp-snapshots/snap.gif
- http://as####cionales.com/economicas/eco.gif
Другие
- 'ap#.##nkedin.com':443
UDP
- DNS ASK ig##y.net
- DNS ASK ap#.##nkedin.com
- DNS ASK ke######mmings.com
- DNS ASK in##.#####nvereinhanreitergasse.at
- DNS ASK as####cionales.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\0535E.cmd" 0"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\ping.exe' 21.12.44.23 -n 1 -w 2000
