Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Скрывает следующие процессы:
- <Полный путь к вирусу>
Сетевая активность:
Подключается к:
- 'www.ms#.com':80
TCP:
Запросы HTTP GET:
- www.ms#.com/
UDP:
- DNS ASK www.ms#.com
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: 'dntAq'
- ClassName: '(null)' WindowName: 'leCenHRe'
- ClassName: '(null)' WindowName: 'mKtpKLaY'
- ClassName: '(null)' WindowName: 'qwZXl'
- ClassName: '(null)' WindowName: 'xACVvq'
- ClassName: '(null)' WindowName: ' ikB'
- ClassName: '(null)' WindowName: 'qmnkzRegdr t phbp'
- ClassName: '(null)' WindowName: 'hRiyxxsc'
- ClassName: '(null)' WindowName: 'rzby wafm'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: '(null)' WindowName: 'ktjl'
- ClassName: '(null)' WindowName: 'BI Zwt Bxiaa'
- ClassName: '(null)' WindowName: 'Qx wu GcbFes'
- ClassName: '(null)' WindowName: 'xsHy '
- ClassName: '(null)' WindowName: 'x j'
- ClassName: '(null)' WindowName: 'Ecxf Io M'
- ClassName: '(null)' WindowName: 'pYheRi'
- ClassName: '(null)' WindowName: 'WOh iO'
- ClassName: '(null)' WindowName: 'SB h'
- ClassName: '(null)' WindowName: 'OdcRc tjqxa'
- ClassName: '(null)' WindowName: 'fnmyk X'
- ClassName: '(null)' WindowName: 'wNqdHK'
- ClassName: '(null)' WindowName: 'Noo v '
- ClassName: '(null)' WindowName: 'na pq '
- ClassName: '(null)' WindowName: 'clfTWr'
- ClassName: '(null)' WindowName: 'hwYQgpkvhP'
