Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\programfilesmanager
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\rundll32.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\tzdlvq9ldsrlbjc\programfilesmanager.dll
Сетевая активность
Подключается к
- 'te##utz.com':443
- 'x1.#.lencr.org':80
- 'r1#.#.lencr.org':80
- 'ze###lon.com':443
- 'gl##tch.com':443
TCP
Запросы HTTP GET
- http://r1#.#.lencr.org/83.crl
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?8d##############
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?22##############
- http://r1#.#.lencr.org/70.crl
Другие
- 'te##utz.com':443
- 'ze###lon.com':443
- 'gl##tch.com':443
UDP
- DNS ASK te##utz.com
- DNS ASK x1.#.lencr.org
- DNS ASK r1#.#.lencr.org
- DNS ASK ze###lon.com
- DNS ASK gl##tch.com
Другое
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' %APPDATA%\TzDlVq9LDsRLBJc\ProgramFilesManager.dll RTKBootStrv
- '<SYSTEM32>\schtasks.exe' /Create /SC MINUTE /MO 18 /TN "ProgramFilesManager" /TR "<SYSTEM32>\rundll32.exe %APPDATA%\TzDlVq9LDsRLBJc\ProgramFilesManager.dll RTKBootStrv"
- '<SYSTEM32>\schtasks.exe' /run /tn "ProgramFilesManager"
