Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\l92b.job
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\wermgr.exe' -queuereporting
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Tasks\l92b
- <Текущая директория>\gzzsu6a5yo
- <SYSTEM32>\Microsoft\Protect\S-1-5-18\User\f9b3c8af-90f1-466d-840b-f201d12d3633
- C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d42cc0c3858a58db2db37658219e6400_fdaad129-04df-4089-bb80-174ce725f721
Сетевая активность:
Подключается к:
- '49##.##5dirasuek.com':80
- '49##.##kuei4kdsz.com':80
- '49##.#erbooze.net':80
TCP:
Запросы HTTP GET:
- 49##.#erbooze.net/719/442.html
- 49##.##5dirasuek.com/426/104.html
- 49##.##kuei4kdsz.com/130/17.html
- 49##.##5dirasuek.com/482/802.html
- 49##.##kuei4kdsz.com/729/266.html
- 49##.#erbooze.net/436/928.html
- 49##.##kuei4kdsz.com/547/961.html
- 49##.#erbooze.net/254/623.html
- 49##.#erbooze.net/819/450.html
- 49##.#erbooze.net/886/65.html
- 49##.#erbooze.net/642/113.html
- 49##.##5dirasuek.com/222/741.html
UDP:
- DNS ASK 49##.##5dirasuek.com
- DNS ASK 49##.##kuei4kdsz.com
- DNS ASK 49##.#erbooze.net
