Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c ping localhost -n 10 & rundll32.exe %APPDATA%\microsoft\templates\iff.bin,GWCRALYCYIAUAFG
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\zoro.kl
- %TEMP%\if.bin
Перемещает следующие файлы
- %TEMP%\zoro.kl в %APPDATA%\microsoft\templates\zoro.doc
- %TEMP%\if.bin в %APPDATA%\microsoft\templates\iff.bin
Сетевая активность
Подключается к
- 'ap#.#pify.org':80
TCP
Запросы HTTP GET
- http://ap#.#pify.org/
UDP
- DNS ASK ap#.#pify.org
- DNS ASK te###ogio.com
- DNS ASK jo###meract.ru
- DNS ASK am###biquand.ru
Другое
Запускает на исполнение
- '<SYSTEM32>\ping.exe' localhost -n 10
- '<SYSTEM32>\rundll32.exe' %APPDATA%\microsoft\templates\iff.bin,GWCRALYCYIAUAFG
- '<SYSTEM32>\cmd.exe' /c ping localhost -n 10 & rundll32.exe %APPDATA%\microsoft\templates\iff.bin,GWCRALYCYIAUAFG (со скрытым окном)
