Техническая информация
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' "http://redirectionsetup.coolpage.biz/Search.html?/rid=content-from-the-batch" "http://freehuge-domaincorpo.ueuo.com/rchanger.html?/rid=content-from-the-batch/null=1"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\2174.tmp\2175.tmp\2176.bat
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012023103020231031\index.dat
Сетевая активность
Подключается к
- 're#######onsetup.coolpage.biz':80
- 'gg.gg':80
- 'fr#####hostingarea.com':443
- 're##r.me':80
- 're##r.me':443
TCP
Запросы HTTP GET
- http://re#######onsetup.coolpage.biz/Search.html?/r###################################################################################################################
- http://gg.gg/d6ncb
- http://re#######onsetup.coolpage.biz/favicon.ico
- http://re##r.me/?ht#############################################
Другие
- 'fr#####hostingarea.com':443
- 're##r.me':443
UDP
- DNS ASK re#######onsetup.coolpage.biz
- DNS ASK gg.gg
- DNS ASK hi##ref.xyz
- DNS ASK fr#####hostingarea.com
- DNS ASK re##r.me
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\2174.tmp\2175.tmp\2176.bat <Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\2174.tmp\2175.tmp\2176.bat <Полный путь к файлу>"
- '<SYSTEM32>\timeout.exe' 7200
