Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\zqem0ogs.0.cs
- %TEMP%\zqem0ogs.cmdline
- %TEMP%\zqem0ogs.out
- %TEMP%\csc6306.tmp
- %TEMP%\res6307.tmp
- %TEMP%\zqem0ogs.dll
Удаляет следующие файлы
- %TEMP%\res6307.tmp
- %TEMP%\csc6306.tmp
- %TEMP%\zqem0ogs.0.cs
- %TEMP%\zqem0ogs.dll
- %TEMP%\zqem0ogs.cmdline
- %TEMP%\zqem0ogs.out
Сетевая активность
Подключается к
- '14#.#5.44.131':80
TCP
Запросы HTTP GET
- http://14#.#5.44.131/infopage/bghlj.exe
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\zqem0ogs.cmdline" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES6307.tmp" "%TEMP%\CSC6306.tmp" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe'
