Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\idokghiuhriqmlomnq\oakfsqdabpxhdlfvdi
- %TEMP%\30035056
- %TEMP%\kfbsfbf
- %TEMP%\keyrhgqjfnqfb
Удаляет файлы, которые сам же создал
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\o3nj71n8\8285928602860385031[1].htm
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\pqe9htsa\8285928602860385031[1].htm
Сетевая активность
Подключается к
- 'ar##c.edu':443
- 'mo#####.map.fastly.net':443
- 'x1.#.lencr.org':80
- 'i.##gur.com':443
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
- 't.#e':443
- 'st####ommunity.com':443
- '91.##3.252.176':45247
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?a3##############
Другие
- 'ar##c.edu':443
- 'i.##gur.com':443
- 't.#e':443
- 'st####ommunity.com':443
UDP
- DNS ASK ar##c.edu
- DNS ASK mo#####.map.fastly.net
- DNS ASK x1.#.lencr.org
- DNS ASK i.##gur.com
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
- DNS ASK t.#e
- DNS ASK st####ommunity.com
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe'
