Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /f /im "Funshion.exe"
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\funshioninstall_c50677.exe
- %TEMP%\nse52f0.tmp
- %TEMP%\legendlog.ini
- <Текущая директория>\temp\legendlog.ini
- %TEMP%\nsz5f8f.tmp\system.dll
- %TEMP%\nsz5f8f.tmp\findprocdll.dll
- %TEMP%\nsz5f8f.tmp\killprocdll.dll
- %TEMP%\nsz5f8f.tmp\execcmd.dll
- %TEMP%\nsz5f8f.tmp\welcomepage.ini
- %TEMP%\nsz5f8f.tmp\instpath.ini
- %TEMP%\welcomepage.ini
- %TEMP%\instpath.ini
- %TEMP%\blank.bmp
- %TEMP%\welcome.bmp
- %TEMP%\licensecn.bmp
- %TEMP%\licenseen.bmp
- %TEMP%\installpathcn.bmp
- %TEMP%\installpathen.bmp
- %TEMP%\installfilescn3.bmp
- %TEMP%\installfilescn2.bmp
- %TEMP%\installfilesen3.bmp
- %TEMP%\installfilesen2.bmp
- %TEMP%\nsz5f8f.tmp\iospecial.ini
- %TEMP%\nsz5f8f.tmp\modern-wizard.bmp
- %TEMP%\nsz5f8f.tmp\installoptions.dll
Перемещает следующие файлы
- %TEMP%\legendlog.ini в %LOCALAPPDATA%\temp
Сетевая активность
Подключается к
- '2.#n':80
TCP
Запросы HTTP GET
- http://2.#n/m.exe
UDP
- DNS ASK 2.#n
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\funshioninstall_c50677.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C taskkill /f /im "Funshion.exe" (со скрытым окном)
