Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\firefox default browser agent 651bf5ffa99fd6a0
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- divcdsv
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\divcdsv
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\divcdsv
Самоудаляется.
Сетевая активность
Подключается к
- 'ho####ile-file0.com':80
- 'fi####ile-file1.com':80
TCP
Запросы HTTP POST
- http://ho####ile-file0.com/
- http://fi####ile-file1.com/
UDP
- DNS ASK ho####ile-file0.com
- DNS ASK fi####ile-file1.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\divcdsv'
- '%APPDATA%\divcdsv' ' (со скрытым окном)
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\taskeng.exe' {567583CF-09AF-44BC-A013-4782918F3470} S-1-5-21-1238866942-1249195528-555854008-1000:nxrgqjhauthm\user:Interactive:[1]
