Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cglwharps.exe
Сетевая активность
Подключается к
- 'microsoft.com':80
- 'ip##pi.com':80
- '18#.#59.129.168':80
- '18#.#49.146.118':80
- '77.##.77.144':80
- 'pa###bin.com':80
- 'pa###bin.com':443
- 'pk#.goog':80
TCP
Запросы HTTP GET
- http://www.microsoft.com/
- http://ip##pi.com/json/?fi###########################################
- http://pa###bin.com/raw/r0KhEEzi
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'pa###bin.com':443
UDP
- DNS ASK microsoft.com
- DNS ASK ip##pi.com
- DNS ASK pa###bin.com
- DNS ASK pk#.goog
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\temp\cglwharps.exe'
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe'
