Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\flowsshnet32
- %WINDIR%\tasks\securityserver.job
- <SYSTEM32>\tasks\securityserver
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\ftp.exe
- %WINDIR%\syswow64\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bd1d697b
- %TEMP%\bd9dd3f0
- %APPDATA%\cicpfips32\bit9be1.tmp
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\s-1-5-18\d42cc0c3858a58db2db37658219e6400_d99ef00b-ccd3-4f1d-9980-90ac453b0b47
- %TEMP%\blxvxdxgasa
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\cicpfips32\bit9be1.tmp
Перемещает следующие файлы
- %APPDATA%\cicpfips32\bit9be1.tmp в %APPDATA%\cicpfips32\flowsshnet32.exe
Сетевая активность
Подключается к
- 're######bilitybridge.com':80
TCP
Запросы HTTP POST
- http://re######bilitybridge.com/8BvxwQdec3/index.php
UDP
- DNS ASK re######bilitybridge.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\ftp.exe'
- '%WINDIR%\syswow64\explorer.exe'
