Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\delays.tmp
Удаляет следующие файлы
- %WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe
Сетевая активность
Подключается к
- 'pr###.#ohnmccrea.com':80
- 'co###.hopto.org':80
TCP
Запросы HTTP GET
- http://pr###.#ohnmccrea.com/
- http://pr###.#ohnmccrea.com//sql.dll
Запросы HTTP POST
- http://co###.hopto.org/
UDP
- DNS ASK pr###.#ohnmccrea.com
- DNS ASK co###.hopto.org
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe'
- '%WINDIR%\syswow64\cmd.exe' /c timeout /t 10 & del /f /q "%WINDIR%\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe" & rd /s /q "%ALLUSERSPROFILE%\JKFCBAEHCAEG" & exit (со скрытым окном)
- '%WINDIR%\syswow64\timeout.exe' /t 10
