Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\firefox default browser agent a412532656aaf31e
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\applaunch.exe
следующие пользовательские процессы:
- toolspub2.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\ewucwvf
- %TEMP%\a035.exe
- %TEMP%\a61f.exe
- %TEMP%\installsetup5.exe
- %TEMP%\toolspub2.exe
- %TEMP%\31839b57a4f11171d6abc8bbc4451ee4.exe
- %TEMP%\121b.exe
- %TEMP%\broom.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\ewucwvf
Удаляет следующие файлы
- %WINDIR%\microsoft.net\framework\v4.0.30319\applaunch.exe
- %TEMP%\toolspub2.exe
Сетевая активность
Подключается к
- '5.##.92.190':80
- '5.##.65.80':80
- '19#.#9.94.72':80
- '19#.#9.94.11':80
TCP
Запросы HTTP GET
- http://5.##.65.80/newrock.exe
- http://19#.#9.94.72/1.exe
Запросы HTTP POST
- http://19#.#9.94.11/
- http://5.##.92.190/fks/index.php
Другое
Создает и запускает на исполнение
- '%TEMP%\a035.exe'
- '%TEMP%\a61f.exe'
- '%TEMP%\installsetup5.exe'
- '%TEMP%\toolspub2.exe'
- '%TEMP%\31839b57a4f11171d6abc8bbc4451ee4.exe'
- '%TEMP%\121b.exe'
- '%TEMP%\broom.exe'
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\A9FA.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\applaunch.exe'
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\A9FA.bat" "
