Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\windowspowershell\v1.0\_<Имя файла>.exe
Сетевая активность
Подключается к
- 'localhost':42407
- 'localhost':49695
- 'ud##y.com':80
- 'localhost':49705
- 'st####verflow.com':80
TCP
Запросы HTTP POST
- http://10#.#6.142.237/e0
- /e0 via ud##y.com
- http://10#.#6.142.237/loader/start
- /loader/start via ud##y.com
- http://10#.#6.142.237/download/download
- /download/download via ud##y.com
- http://10#.18.32.7/e0
- /e0 via st####verflow.com
- http://10#.18.32.7/loader/start
- /loader/start via st####verflow.com
Другие
- 'localhost':49695
- 'localhost':49705
UDP
- DNS ASK ud##y.com
- DNS ASK st####verflow.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\_<Имя файла>.exe' "<Имя файла>.exe"
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c start "" "_<Имя файла>.exe" "<Имя файла>.exe"
- '<SYSTEM32>\cmd.exe' /c cls
