Техническая информация
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://www.xsp5.info/index/index8.htm
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://www.qwxyx.com/?ta
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\windows\privacie\index.dat
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012024091020240911\index.dat
Сетевая активность
Подключается к
- 'qw##x.com':80
- 'tt##.top':443
- 'hm.##idu.com':443
TCP
Запросы HTTP GET
- http://www.qw##x.com/?ta
- http://www.qw##x.com/common.js
- http://www.qw##x.com/tj.js
- http://www.qw##x.com/favicon.ico
Другие
- '34.##9.100.209':443
- 'tt##.top':443
- 'hm.##idu.com':443
UDP
- DNS ASK xs##.info
- DNS ASK do###.###.##so.com.www.qq163.com.q91.info
- DNS ASK qw##x.com
- DNS ASK tt##.top
- DNS ASK hm.##idu.com
- DNS ASK google.com
- DNS ASK au######te.geo.opera.com
- DNS ASK du###uckgo.com
- DNS ASK se####.yahoo.com
- DNS ASK bing.com
- DNS ASK am##on.com
- DNS ASK bi##.#ikimedia.org
- DNS ASK en.###ipedia.org
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
- ClassName: 'Static' WindowName: ''
Запускает на исполнение
- '%WINDIR%\explorer.exe' http://www.xsp5.info/index8.htm
- '%WINDIR%\explorer.exe' http://www.qwxyx.com/?ta
- '<SYSTEM32>\cmd.exe' /c start %TEMP%\xf.vbe (со скрытым окном)
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://www.xsp5.info/index/index8.htm (со скрытым окном)
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://www.qwxyx.com/?ta (со скрытым окном)
