Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
- %WINDIR%\syswow64\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\af61.tmp
- %TEMP%\b07b.tmp
- %TEMP%\b240.tmp
- %TEMP%\f21e.tmp
- %TEMP%\f2b7.tmp
- %TEMP%\f316.tmp
- %TEMP%\f374.tmp
- %TEMP%\1016.tmp
- %TEMP%\1084.tmp
- %TEMP%\1150.tmp
Удаляет следующие файлы
- %TEMP%\af61.tmp
- %TEMP%\b07b.tmp
- %TEMP%\b240.tmp
- %TEMP%\f2b7.tmp
- %TEMP%\f316.tmp
- %TEMP%\f374.tmp
- %TEMP%\1016.tmp
- %TEMP%\1084.tmp
- %TEMP%\1150.tmp
Самоудаляется.
Сетевая активность
Подключается к
- 'fe##era.com':80
TCP
Запросы HTTP GET
- http://fe##era.com/task.php?id####################################################################
- http://fe##era.com/grabber.pcp
UDP
- DNS ASK fe##era.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe' -k netsvcs
- '%WINDIR%\syswow64\explorer.exe'
