Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- расширений файлов
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: ''
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\jfpelvo.exe
Удаляет следующие файлы
- %TEMP%\jfpelvo.exe
Самоудаляется.
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
- 'ba##u.com':80
TCP
Запросы HTTP GET
- http://www.ba##u.com/
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
- DNS ASK ba##u.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'Es4.RunTask.exe'
- ClassName: '' WindowName: ''
- ClassName: 'Progman' WindowName: 'Program Manager'
Создает и запускает на исполнение
- '%TEMP%\jfpelvo.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c del /s /q /a /f "%HOMEPATH%\Favorites\*" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c del /q /a /f "<Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c del /q /a /f "C:\Users\Public\Desktop\*" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c del /q /a /f "%HOMEPATH%\Desktop\*" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c del /q /a /f "%TEMP%\jfpelvo.exe" (со скрытым окном)
