Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1468
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\ce13.xsl
- %TEMP%\974616.cvr
Сетевая активность
Подключается к
- 'gr###jukes.com':443
- 'cu###dscrew.com':443
- 'we####ssway.co.za':443
- 'he###long.com':80
TCP
Запросы HTTP GET
- http://he###long.com/NJm75ajGNU.php
Другие
- 'gr###jukes.com':443
UDP
- DNS ASK ho#####dblessing.com
- DNS ASK go###llet.com
- DNS ASK or####onsulting.com
- DNS ASK gr###jukes.com
- DNS ASK cu###dscrew.com
- DNS ASK ku###oding.com
- DNS ASK dr###itelite.it
- DNS ASK ea###eber.net
- DNS ASK we####ssway.co.za
- DNS ASK he###long.com
Другое
Ищет следующие окна
- ClassName: 'CONSoLewInDowCLASS' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\wbem\wmic.exe' (со скрытым окном)
