Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' (загружен из сети Интернет)
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ox_1762374557605.exe
- %TEMP%\ox_1762374557848.exe
- %TEMP%\ox_1762374557773.exe
- %TEMP%\ox_1762374557698.exe
- %TEMP%\ox_1762374557907.exe
- %TEMP%\ox_1762374557871.exe
Удаляет файлы, которые сам же создал
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\y0fv2r0x\retev[1].htm
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\y0fv2r0x\retev[2].htm
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\5ov7j1tm\retev[2].htm
Сетевая активность
Подключается к
- 'vc######stributable.help':443
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?ad##############
Другие
- 'vc######stributable.help':443
UDP
- DNS ASK vc######stributable.help
- DNS ASK mo#####.map.fastly.net
Другое
Создает и запускает на исполнение
- '%TEMP%\ox_1762374557848.exe'
- '%TEMP%\ox_1762374557605.exe'
- '%TEMP%\ox_1762374557773.exe'
- '%TEMP%\ox_1762374557698.exe'
- '%TEMP%\ox_1762374557871.exe'
- '%TEMP%\ox_1762374557907.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' start %TEMP%\ox_1762374557848.exe
- '<SYSTEM32>\cmd.exe' start %TEMP%\ox_1762374557605.exe
- '<SYSTEM32>\cmd.exe' start %TEMP%\ox_1762374557773.exe
- '<SYSTEM32>\cmd.exe' start %TEMP%\ox_1762374557698.exe
- '<SYSTEM32>\cmd.exe' start %TEMP%\ox_1762374557871.exe
- '<SYSTEM32>\cmd.exe' start %TEMP%\ox_1762374557907.exe
