Техническая информация
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
- %WINDIR%\syswow64\ipconfig.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\msnmsgr.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\msnmsgr.exe
Сетевая активность
Подключается к
- 'hu###cesa.com':80
- 'al###lamo.com':80
- 'se##ife.com':80
- 'zi##all.nl':80
- 'se####orwebline.com':80
- 'hm##c.org':80
- 'in##tom.pt':80
- 'pr###am.aya.sy':80
- 'ha###egas.gr':80
- 'co##l.info':80
- 'to#.com.mx':80
- 'mu####adius.com.br':80
TCP
Запросы HTTP GET
- http://www.hu###cesa.com/img//command.inf
- http://www.al###lamo.com/img/icons//command.inf
- http://www.se##ife.com/images//command.inf
- http://www.zi##all.nl/images//command.inf
- http://www.se####orwebline.com/images//command.inf
- http://www.hm##c.org/images//command.inf
- http://www.in##tom.pt/images//command.inf
- http://www.ha###egas.gr/images//command.inf
- http://www.co##l.info/cosol/fotos//command.inf
- http://www.to#.com.mx/images//command.inf
- http://www.mu####adius.com.br/img//command.inf
UDP
- DNS ASK hu###cesa.com
- DNS ASK al###lamo.com
- DNS ASK se##ife.com
- DNS ASK sh##ler.net
- DNS ASK zi##all.nl
- DNS ASK se####orwebline.com
- DNS ASK kl##vg.org
- DNS ASK hm##c.org
- DNS ASK in##tom.pt
- DNS ASK pr###am.aya.sy
- DNS ASK in#####etrofund.info
- DNS ASK ha###egas.gr
- DNS ASK co##l.info
- DNS ASK to#.com.mx
- DNS ASK mu####adius.com.br
Другое
Ищет следующие окна
- ClassName: 'MS_WINHELP' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\msnmsgr.exe' start
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C ver (со скрытым окном)
- '%WINDIR%\syswow64\ipconfig.exe' /flushdns (со скрытым окном)
