Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\asusns.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\asusns.exe
- %TEMP%\jxokfkio.rx
- %TEMP%\yzdunxpcqv.exe
Удаляет следующие файлы
- %TEMP%\yzdunxpcqv.exe
Сетевая активность
Подключается к
- '66.##5.208.79':80
- 'nm###iles.com':80
- 'ad###nny.com':80
- 'ho###.credit':80
TCP
Запросы HTTP GET
- http://66.##5.208.79/550/asusns.exe
- http://www.nm###iles.com/hph0/?vF###########################################################################################
- http://www.ad###nny.com/hph0/?vF###########################################################################################
- http://www.ho###.credit/hph0/?vF###########################################################################################
UDP
- DNS ASK nm###iles.com
- DNS ASK ad###nny.com
- DNS ASK ho###.credit
- DNS ASK bl##all.xyz
Другое
Создает и запускает на исполнение
- '%TEMP%\yzdunxpcqv.exe'
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\mstsc.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%TEMP%\yzdunxpcqv.exe"
