Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- bad.com
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dresses.eml
- %TEMP%\designers
- %TEMP%\homes
- %TEMP%\eyes
- %TEMP%\supplements
- %TEMP%\lake
- %TEMP%\johnny
- %TEMP%\huntington
- %TEMP%\og
- %TEMP%\advantages
- %TEMP%\seemed
- %TEMP%\thread
- %TEMP%\guarantee
- %TEMP%\75127\bad.com
- %TEMP%\building
- %TEMP%\communist.eml
- %TEMP%\knew.eml
- %TEMP%\islam.eml
- %TEMP%\nonprofit.eml
- %TEMP%\munich.eml
- %TEMP%\accomplished.eml
- %TEMP%\electronic.eml
- %TEMP%\natural.eml
- %TEMP%\breeding.eml
- %TEMP%\training.eml
- %TEMP%\lyrics.eml
- %TEMP%\monkey.eml
- %TEMP%\monkey.eml.bat
- %TEMP%\75127\h
Удаляет следующие файлы
- %TEMP%\75127\h
Самоудаляется.
Сетевая активность
Подключается к
- '45.##3.34.237':443
TCP
Другие
- '34.##9.100.209':443
UDP
- DNS ASK WJ##########zdqZKFnc.WJQgpjCHBsjbzdqZKFnc
Другое
Создает и запускает на исполнение
- '%TEMP%\75127\bad.com' h
- '%TEMP%\75127\bad.com'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Monkey.eml Monkey.eml.bat & Monkey.eml.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "bdservicehost SophosHealth AvastUI AVGUI nsWscSvc ekrn"
- '%WINDIR%\syswow64\extrac32.exe' /Y Communist.eml *.*
- '%WINDIR%\syswow64\findstr.exe' /V "Exotic" Building
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
