Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<SYSTEM32>\xcopy.exe' /Y /C /Q <SYSTEM32>\ie4uinit.exe "%APPDATA%\microsoft\*"
- '<SYSTEM32>\wbem\wmic.exe' process call create "%APPDATA%\microsoft\ie4uinit.exe -basesettings"
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\ieuinit.inf
- %APPDATA%\microsoft\ie4uinit.exe
- %WINDIR%\temp\old3014.tmp
- %WINDIR%\security\logs\scecomp.log
Удаляет следующие файлы
- %APPDATA%\microsoft\ieuinit.inf
- %WINDIR%\temp\old3014.tmp
Сетевая активность
Подключается к
- 'da###rolls.com':80
TCP
Запросы HTTP GET
- http://da###rolls.com/aj55hg3eude
UDP
- DNS ASK da###rolls.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\ie4uinit.exe' -basesettings
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" call xcopy /Y /C /Q <SYSTEM32>\ie4uinit.exe "%APPDATA%\microsoft\*" "
- '<SYSTEM32>\cmd.exe' /S /D /c" set Images21=Strikes "
- '<SYSTEM32>\cmd.exe' /S /D /c" start "" wmic process call create "%APPDATA%\microsoft\ie4uinit.exe -basesettings" "
- '<SYSTEM32>\cmd.exe' /S /D /c" set "Images83=Venues Before Travis Crane Language Scientists Creatures Agencies Phases Copper Lands Loops Afraid Soldier Never Mounts Shine Direct Fluid Scene Invitations Ripple Prefe...
