Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\micro.pfx
Сетевая активность
Подключается к
- 'ta###.a1h.in':80
- 'drive.usercontent.google.com':443
TCP
Запросы HTTP GET
- http://ta###.a1h.in/Microsoft%20Corporation.pfx
Другие
- 'drive.usercontent.google.com':443
UDP
- DNS ASK ta###.a1h.in
- DNS ASK drive.usercontent.google.com
- DNS ASK pa###.lus.pm
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c fsutil usn createjournal m=0 a=0 C (со скрытым окном)
- '<SYSTEM32>\fsutil.exe' usn createjournal m=0 a=0 C
- '<SYSTEM32>\cmd.exe' /c fsutil usn deletejournal /D C (со скрытым окном)
- '<SYSTEM32>\fsutil.exe' usn deletejournal /D C
