Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\applaunch.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\jf9in31.exe
- %TEMP%\ixp000.tmp\13cj907.exe
- %TEMP%\ixp001.tmp\11kw2652.exe
- %TEMP%\ixp001.tmp\12dp496.exe
Удаляет следующие файлы
- %TEMP%\ixp001.tmp\12dp496.exe
- %TEMP%\ixp001.tmp\11kw2652.exe
- %TEMP%\ixp000.tmp\13cj907.exe
- %TEMP%\ixp000.tmp\jf9in31.exe
Сетевая активность
Подключается к
- '5.##.92.43':80
- 'he###teeakl.pw':80
TCP
Запросы HTTP POST
- http://he###teeakl.pw/api
UDP
- DNS ASK he###teeakl.pw
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\jf9in31.exe'
- '%TEMP%\ixp001.tmp\11kw2652.exe'
- '%TEMP%\ixp001.tmp\12dp496.exe'
- '%TEMP%\ixp000.tmp\13cj907.exe'
- '%TEMP%\ixp000.tmp\jf9in31.exe' ' (со скрытым окном)
- '%TEMP%\ixp001.tmp\11kw2652.exe' ' (со скрытым окном)
- '%TEMP%\ixp001.tmp\12dp496.exe' ' (со скрытым окном)
- '%TEMP%\ixp000.tmp\13cj907.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\applaunch.exe'
