Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im PerfWatson2.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\rtwwsgimg.com
- nul
Самоудаляется.
Сетевая активность
Подключается к
- 'localhost':49692
- 'ke##uth.win':443
- '10#.#1.38.38':80
- 'x1.#.lencr.org':80
- 'e8.#.lencr.org':80
TCP
Запросы HTTP GET
- http://e8.#.lencr.org/41.crl
Другие
- 'localhost':49692
- 'localhost':49693
- 'e8.#.lencr.org':443
UDP
- DNS ASK ke##uth.win
- DNS ASK x1.#.lencr.org
- DNS ASK e8.#.lencr.org
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\rtwwsgimg.com' --restarted --oldpath="<Полный путь к файлу>" --oldpid=1108"
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c taskkill /f /im PerfWatson2.exe >nul 2>&1
- '<SYSTEM32>\cmd.exe' /c cls
- '<SYSTEM32>\cmd.exe' /c certutil -hashfile "<Текущая директория>\rTWwsGIMg.com" MD5 | find /i /v "md5" | find /i /v "certutil"
- '<SYSTEM32>\certutil.exe' -hashfile "<Текущая директория>\rTWwsGIMg.com" MD5
- '<SYSTEM32>\find.exe' /i /v "md5"
- '<SYSTEM32>\find.exe' /i /v "certutil"
