Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /IM patcher_cf.exe
- '<SYSTEM32>\taskkill.exe' /F /T /IM GameCenter.exe
- '<SYSTEM32>\taskkill.exe' /IM crossfire.exe
- '<SYSTEM32>\taskkill.exe' /F /T /IM Game.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cab30c.tmp
- %WINDIR%\temp\tar30d.tmp
- %WINDIR%\temp\cab1a07.tmp
- %WINDIR%\temp\tar1a08.tmp
- %WINDIR%\temp\cab1a76.tmp
- %WINDIR%\temp\tar1a77.tmp
- %WINDIR%\temp\cab3049.tmp
- %WINDIR%\temp\tar304a.tmp
- %WINDIR%\temp\cab5d15.tmp
- %WINDIR%\temp\tar5d16.tmp
Удаляет следующие файлы
- %WINDIR%\temp\cab30c.tmp
- %WINDIR%\temp\tar30d.tmp
- %WINDIR%\temp\cab1a07.tmp
- %WINDIR%\temp\tar1a08.tmp
- %WINDIR%\temp\cab1a76.tmp
- %WINDIR%\temp\tar1a77.tmp
- %WINDIR%\temp\cab3049.tmp
- %WINDIR%\temp\tar304a.tmp
- %WINDIR%\temp\cab5d15.tmp
- %WINDIR%\temp\tar5d16.tmp
Сетевая активность
Подключается к
- 'xh##k.net':443
- 'pk#.goog':80
TCP
Запросы HTTP GET
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'xh##k.net':443
UDP
- DNS ASK xh##k.net
- DNS ASK pk#.goog
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
- ClassName: '' WindowName: 'MHTabWidgetClassWindow'
- ClassName: '' WindowName: 'statusBarWindow'
- ClassName: '' WindowName: 'IDA: Quick Start'
- ClassName: '' WindowName: 'Monitor New Process'
Создает и запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /IM patcher_cf.exe' (со скрытым окном)
- '<SYSTEM32>\taskkill.exe' /F /T /IM GameCenter.exe' (со скрытым окном)
- '<SYSTEM32>\taskkill.exe' /IM crossfire.exe' (со скрытым окном)
- '<SYSTEM32>\taskkill.exe' /F /T /IM Game.exe' (со скрытым окном)
