Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\374.exe'
- '%TEMP%\323.exe'
Запускает на исполнение:
- '<SYSTEM32>\systeminfo.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\374.exe
- %TEMP%\bm3.tmp
- %TEMP%\nst2.tmp
- %TEMP%\323.exe
Удаляет следующие файлы:
- %TEMP%\374.exe
- %TEMP%\323.exe
Сетевая активность:
Подключается к:
- 'www.fi###ump.net':80
- 've####a.junyks.cz':80
TCP:
Запросы HTTP GET:
- ve####a.junyks.cz/report1_43524E4A45554655_006C5085_5_image_size_ok
- ve####a.junyks.cz/report1_43524E4A45554655_006C5085_4_page_ok
- ve####a.junyks.cz/report1_43524E4A45554655_006C5085_7_payload_not_ok
- ve####a.junyks.cz/report1_43524E4A45554655_006C5085_6_image_type_not_ok
- www.fi###ump.net/dumped/img8991381784559.png
- ve####a.junyks.cz/report1_43524E4A45554655_006C5085_1_already_ok
- ve####a.junyks.cz/report1_43524E4A45554655_006C5085_0_started
- ve####a.junyks.cz/report1_43524E4A45554655_006C5085_3_http___www_filedump_net_dumped_img8991381784559_png
- ve####a.junyks.cz/report1_43524E4A45554655_006C5085_2_mark_ok
UDP:
- DNS ASK www.fi###ump.net
- DNS ASK ve####a.junyks.cz
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
