Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%APPDATA%\Explorer.exe" "Explorer.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ja4o4zpk.0.vb
- %TEMP%\ja4o4zpk.cmdline
- %TEMP%\ja4o4zpk.out
- %TEMP%\vbc401b.tmp
- %TEMP%\vbc4106.tmp
- %TEMP%\res4107.tmp
- %TEMP%\ja4o4zpk.dll
- %APPDATA%\explorer.exe
- %TEMP%\wl1edyud.0.vb
- %TEMP%\wl1edyud.cmdline
- %TEMP%\wl1edyud.out
- %TEMP%\vbc644d.tmp
- %TEMP%\vbc648d.tmp
- %TEMP%\res648e.tmp
- %TEMP%\wl1edyud.dll
Удаляет следующие файлы
- %TEMP%\res4107.tmp
- %TEMP%\vbc4106.tmp
- %TEMP%\ja4o4zpk.dll
- %TEMP%\ja4o4zpk.0.vb
- %TEMP%\ja4o4zpk.cmdline
- %TEMP%\ja4o4zpk.out
- %TEMP%\res648e.tmp
- %TEMP%\vbc648d.tmp
- %TEMP%\wl1edyud.0.vb
- %TEMP%\wl1edyud.dll
- %TEMP%\wl1edyud.out
- %TEMP%\wl1edyud.cmdline
Сетевая активность
Подключается к
- 'localhost':6666
Другое
Создает и запускает на исполнение
- '%APPDATA%\explorer.exe'
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\ja4o4zpk.cmdline" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4107.tmp" "%TEMP%\vbc4106.tmp" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\wl1edyud.cmdline" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES648E.tmp" "%TEMP%\vbc648D.tmp" (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%APPDATA%\Explorer.exe" "Explorer.exe" ENABLE (со скрытым окном)
