Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\notepad.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cab7e62.tmp
- %WINDIR%\temp\tar7e63.tmp
- %WINDIR%\temp\cab7f20.tmp
- %WINDIR%\temp\tar7f21.tmp
- %WINDIR%\temp\cab8079.tmp
- %WINDIR%\temp\tar807a.tmp
- C:\users\public\loader.log
Удаляет следующие файлы
- %WINDIR%\temp\cab7e62.tmp
- %WINDIR%\temp\tar7e63.tmp
- %WINDIR%\temp\cab7f20.tmp
- %WINDIR%\temp\tar7f21.tmp
- %WINDIR%\temp\cab8079.tmp
- %WINDIR%\temp\tar807a.tmp
Сетевая активность
Подключается к
- 'localhost':49184
- 'le###litt.life':443
- 'pk#.goog':80
- 'localhost':49190
- 'localhost':49193
- 'localhost':49196
TCP
Запросы HTTP GET
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'localhost':49184
- 'localhost':49185
- 'le###litt.life':443
- 'localhost':49190
- 'localhost':49191
- 'localhost':49193
- 'localhost':49194
- 'localhost':49196
- 'localhost':49197
UDP
- DNS ASK le###litt.life
- DNS ASK pk#.goog
Другое
Запускает на исполнение
- '<SYSTEM32>\notepad.exe'
