Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1412
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\3418.xsl
- %TEMP%\679789.cvr
- %WINDIR%\temp\ea4hp.dll
Сетевая активность
Подключается к
- 'mi###.##syofficeonline.nl':443
- 'so######e.atwebpages.com':80
- 'ho######aningacblondon.com':80
- 'ca######mercioexterior.info':443
- 'fr####esmagicos.com':80
TCP
Запросы HTTP GET
- http://so######e.atwebpages.com/wordpress/wp-content/plugins/wordpress-importer/languages/fXt7XKyhDji.php
- http://www.ho######aningacblondon.com/wp-content/plugins/wp-file-manager/inc/images/RexD5jVC8Amd.php
- http://fr####esmagicos.com/wp-content/plugins/buddypress/bp-messages/actions/TBzYBNEbdY.php
Другие
- 'mi###.##syofficeonline.nl':443
UDP
- DNS ASK co#####geandco.co.uk
- DNS ASK sl###sflash.com
- DNS ASK st###.###oratoriostabbler.com
- DNS ASK mi###.##syofficeonline.nl
- DNS ASK so######e.atwebpages.com
- DNS ASK th####twearhub.in
- DNS ASK ho######aningacblondon.com
- DNS ASK ca######mercioexterior.info
- DNS ASK ne#######fica-info.spadmelk.com
- DNS ASK fr####esmagicos.com
Другое
Ищет следующие окна
- ClassName: 'CoNsoLEwiNDOWclASs' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\wbem\wmic.exe' (со скрытым окном)
- '<SYSTEM32>\rundll32.exe' C:/Windows/Temp//ea4hp.dll DllRegisterServer
