Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\at.exe' skjdjhfjshdfjioe4
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\editors.docm
- %TEMP%\ixp000.tmp\listings
- %TEMP%\ixp000.tmp\marilyn
- %TEMP%\ixp000.tmp\ccd.docm
- %TEMP%\ixp000.tmp\provider
- %TEMP%\ixp000.tmp\shaft
- %TEMP%\ixp000.tmp\792837\pty.exe
- %TEMP%\ixp000.tmp\792837\o
Удаляет файлы, которые сам же создал
- %TEMP%\ixp000.tmp\792837\o
- %TEMP%\ixp000.tmp\shaft
- %TEMP%\ixp000.tmp\provider
- %TEMP%\ixp000.tmp\ccd.docm
- %TEMP%\ixp000.tmp\marilyn
- %TEMP%\ixp000.tmp\listings
- %TEMP%\ixp000.tmp\editors.docm
- %TEMP%\ixp000.tmp\792837\pty.exe
Сетевая активность
Подключается к
- 'ec###dm.cyou':443
TCP
Другие
- 'ec###dm.cyou':443
UDP
- DNS ASK FJ##############AVHYbudLTuSns.FJlXeiZrtUjaADGYAVHYbudLTuSns
- DNS ASK ec###dm.cyou
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\792837\pty.exe' o
- '%TEMP%\ixp000.tmp\792837\pty.exe' /AutoIt3ExecuteLine "Sleep(15108)"
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c KISSxy & type Ccd.docm | %comspec% (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /S /D /c" type Ccd.docm "
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\cmd.exe' /c set /p ="MZ"
- '<SYSTEM32>\cmd.exe' /c findstr /V "Hell" Marilyn
- '<SYSTEM32>\findstr.exe' /V "Hell" Marilyn
- '<SYSTEM32>\cmd.exe' /c copy /b /y 792837\Pty.exe + Provider + Shaft + Listings 792837\Pty.exe
- '<SYSTEM32>\cmd.exe' /c copy /b /y ..\Editors.docm o
- '<SYSTEM32>\at.exe' skjdjhfjshdfjioe4 (со скрытым окном)
