Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\rundll32.exe' shell32.dll,ShellExec_RunDLL %TEMP%\fgkfhjkdfhkljslkjsgkljhnkljs.lnk
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\sgegkseg23mjl.dll
- %TEMP%\fgkfhjkdfhkljslkjsgkljhnkljs.lnk
Перемещает следующие файлы
- %APPDATA%\microsoft\sgegkseg23mjl.dll в %TEMP%\dfshim.dll
- %TEMP%\dfshim.dll в %TEMP%\tmp5b68.tmp
Сетевая активность
Подключается к
- 'wo###ow.website':443
- 'pk#.goog':80
TCP
Запросы HTTP GET
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'wo###ow.website':443
UDP
- DNS ASK wo###ow.website
- DNS ASK pk#.goog
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\rundll32.exe' shell32.dll,ShellExec_RunDLL %TEMP%\fgkfhjkdfhkljslkjsgkljhnkljs.lnk' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /u /s "%APPDATA%\Microsoft\sgegkseg23mjl.dll"' (со скрытым окном)
- '%WINDIR%\syswow64\rundll32.exe' "%TEMP%\dfshim.dll",cleanonlineappcache' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /u /s "%APPDATA%\Microsoft\sgegkseg23mjl.dll"
- '%WINDIR%\syswow64\rundll32.exe' "%TEMP%\dfshim.dll",cleanonlineappcache
