Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /f /im ВіВїГЄГ¿ìµÝÅúÁ¿²éѯ¸ßÊÖ.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\data\d1kf.dll
- <Текущая директория>\gzip.dll
- <Текущая директория>\×ô¶¯éý¼¶.exe
- <Текущая директория>\kd.zip
Удаляет следующие файлы
- <Текущая директория>\kd.zip
Сетевая активность
Подключается к
- 'ab#.#ykj988.com':80
- 'd1##.com':80
TCP
Запросы HTTP GET
- http://www.d1##.com/down/kd.zip
Запросы HTTP POST
- http://ab#.#ykj988.com/newchenxikd/new1.php?id########
UDP
- DNS ASK ab#.#1kf.com
- DNS ASK ab#.#ykj988.com
- DNS ASK d1##.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\×ô¶¯éý¼¶.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /f /im ВіВїГЄГ¿ìµÝÅúÁ¿²éѯ¸ßÊÖ.exe (со скрытым окном)
