Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\rundll32.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\~339706.tmp
Удаляет следующие файлы
- %TEMP%\~339706.tmp
Самоудаляется.
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
- 'ho####enpost.org':80
TCP
Запросы HTTP GET
- http://ho####enpost.org/uploads/8a74d9577e1473b613fab8e0a3d3a7b6.png
Другие
- '34.##9.100.209':443
UDP
- DNS ASK vm######.hosting24.com.au
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
- DNS ASK ho####enpost.org
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' shell32.dll,Control_RunDLL
- '%WINDIR%\syswow64\cmd.exe' /C SYSTEMINFO && SYSTEMINFO && SYSTEMINFO && SYSTEMINFO && SYSTEMINFO && DEL "<Полный путь к файлу>" (со скрытым окном)
- '%WINDIR%\syswow64\systeminfo.exe'
