Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
Сетевая активность
Подключается к
- 'ne###tra.com.br':443
- 'by###esign.net':443
- 'x1.#.lencr.org':80
- 'js.##-stir.com':80
- 'st####.minne.com':443
- 'as####.lolipop.jp':80
- 'lo##pop.jp':443
- 'er#.#olipop.jp':443
- 'mm##f.com':443
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
- http://js.##-stir.com/js/adstir.js?20######
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?19##############
- http://as####.lolipop.jp/img/bnr/bnr_lolipop_ad_001.gif
Другие
- '15#.#01.1.91':443
- 'ne###tra.com.br':443
- 'by###esign.net':443
- 'st####.minne.com':443
- 'as####.lolipop.jp':443
- 'mm##f.com':443
UDP
- DNS ASK ne###tra.com.br
- DNS ASK so#####esigner.com.br
- DNS ASK by###esign.net
- DNS ASK x1.#.lencr.org
- DNS ASK js.##-stir.com
- DNS ASK as####.lolipop.jp
- DNS ASK st####.minne.com
- DNS ASK lo##pop.jp
- DNS ASK er#.#olipop.jp
- DNS ASK rz###.com.br
- DNS ASK mm##f.com
- DNS ASK st###ician.com
- DNS ASK gr#####creativity.com
- DNS ASK al###ool-sa.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -encodedcommand "UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAANQA7ACQAdAByAGEAbgBzAGYAZQByAGEAcwBlAEMAYQB0AGEAcABsAGUAaQBpAHQAZQAgAD0AIAAoACIAaAB0AHQAcABzADoALwAvAG4AZQB0AHUAbAB0AHIA... (со скрытым окном)
