Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\firefox default browser agent 0cdd4943a4d281ff
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\esvtras
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\esvtras
Самоудаляется.
Сетевая активность
Подключается к
- 'wi####auspost.at':80
- 'ms##k.ru':80
- 'gr###grad.ru':80
- 'gr###grad.ru':443
- 'pk#.goog':80
- 'ta####fpirates.net':80
- 'ta####fpirates.net':443
TCP
Запросы HTTP GET
- http://pk#.goog/gsr1/gsr1.crt
Запросы HTTP POST
- http://wi####auspost.at/tmp/
- http://ms##k.ru/tmp/
- http://gr###grad.ru/tmp/
- http://ta####fpirates.net/tmp/
Другие
- 'gr###grad.ru':443
- 'ta####fpirates.net':443
UDP
- DNS ASK wi####auspost.at
- DNS ASK ms##k.ru
- DNS ASK so###gem.com
- DNS ASK gr###grad.ru
- DNS ASK pk#.goog
- DNS ASK ta####fpirates.net
Другое
Создает и запускает на исполнение
- '%APPDATA%\esvtras'
- '%APPDATA%\esvtras' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\taskeng.exe' {07519B02-66CA-4DD7-A2FF-E4F300E33AE9} S-1-5-21-3150914307-1777937420-491476919-1000:esnhliwxmhws\user:Interactive:[1]
