Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- C:\ðç³½õ½éñ\ðç³½õ½éñ.exe
- %TEMP%\ðç³½õ½éñ.exepack.tmp
- %TEMP%\6c58686c2966e64d623af757c1756157a.ini
- %TEMP%\6c58686c2966e64d623af757c1756157.ini
- %TEMP%\ii.html
- %TEMP%\535ce1.txt
- %TEMP%\²¹¶¡.zip
- C:\ðç³½õ½éñ\data\esp-b.dat
- C:\ðç³½õ½éñ\guge176\map\3.map
- <Текущая директория>\delself.cmd
- C:\ðç³½õ½éñ\wav\sound.lst
- C:\ðç³½õ½éñ\data\newopui.pak
Удаляет следующие файлы
- %TEMP%\6c58686c2966e64d623af757c1756157.ini
- %TEMP%\²¹¶¡.zip
- <Текущая директория>\delself.cmd
Самоудаляется.
Сетевая активность
Подключается к
- 'd_#.##rgesder.com':8888
- 'a.##sf.com':7000
- 'ht##q.com':80
- 'd3.###gesder.com':8888
- '43.##0.157.11':7685
TCP
Запросы HTTP GET
- http://d_#.###gesder.com:8888/ via d_#.##rgesder.com
- http://www.ht##q.com/bmd.txt
- http://d3.###gesder.com/shell/?pa############################################################################
Другие
- 'a.##sf.com':7000
UDP
- DNS ASK d_#.##rgesder.com
- DNS ASK a.##sf.com
- DNS ASK ht##q.com
- DNS ASK d3.###gesder.com
Другое
Создает и запускает на исполнение
- 'C:\ðç³½õ½éñ\ðç³½õ½éñ.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c delself.cmd (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del "C:\Ðdz½Õ½Éñ\*.dll" (со скрытым окном)
