Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\data.vbs
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework64\v4.0.30319\installutil.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\1076-1436-<Имя файла>.exe-15-54-34-932.dump
- %TEMP%\content\1076-1436-<Имя файла>.exe-15-54-35-978.dump
- %TEMP%\content\1076-1436-<Имя файла>.exe-15-54-36-146.dump
- %TEMP%\content\1076-1436-<Имя файла>.exe-15-54-36-629.dump
Сетевая активность
Подключается к
- '19#.#51.92.69':80
- 'ch####p.dyndns.org':80
- 're####freegeoip.org':443
- 'ap#.##legram.org':443
TCP
Запросы HTTP GET
- http://19#.#51.92.69/Jrvzmiiron.mp3
- http://ch####p.dyndns.org/
Другие
- 're####freegeoip.org':443
- 'ap#.##legram.org':443
UDP
- DNS ASK ch####p.dyndns.org
- DNS ASK re####freegeoip.org
- DNS ASK ap#.##legram.org
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\installutil.exe'
