Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\at.exe' fhbdhj48736isuh84
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\director
- %TEMP%\ixp000.tmp\tr
- %TEMP%\ixp000.tmp\molecules.wp5
- %TEMP%\ixp000.tmp\colin
- %TEMP%\ixp000.tmp\murray.wp5
- %TEMP%\ixp000.tmp\desk
- %TEMP%\ixp000.tmp\712651\races.exe
- %TEMP%\ixp000.tmp\712651\b
Удаляет файлы, которые сам же создал
- %TEMP%\ixp000.tmp\desk
- %TEMP%\ixp000.tmp\murray.wp5
- %TEMP%\ixp000.tmp\colin
- %TEMP%\ixp000.tmp\molecules.wp5
- %TEMP%\ixp000.tmp\tr
- %TEMP%\ixp000.tmp\director
- %TEMP%\ixp000.tmp\712651\races.exe
- %TEMP%\ixp000.tmp\712651\b
Сетевая активность
Подключается к
- 'co##exm.top':443
TCP
Другие
- 'co##exm.top':443
UDP
- DNS ASK cn############hYLIWnWmWdM.cntqOInRfaOjojhYLIWnWmWdM
- DNS ASK in###iv.cyou
- DNS ASK co##exm.top
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\712651\races.exe' b
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c SxIe & type Murray.wp5 | %comspec% (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /S /D /c" type Murray.wp5 "
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\cmd.exe' /c set /p ="MZ"
- '<SYSTEM32>\cmd.exe' /c findstr /V "Invoice" Director
- '<SYSTEM32>\findstr.exe' /V "Invoice" Director
- '<SYSTEM32>\cmd.exe' /c copy /b /y 712651\Races.exe + Desk + Tr + Colin 712651\Races.exe
- '<SYSTEM32>\cmd.exe' /c copy /b /y ..\Molecules.wp5 b
- '<SYSTEM32>\at.exe' fhbdhj48736isuh84 (со скрытым окном)
