Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\at.exe' skjdjhfjshdfjioe4
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\specializing
- %TEMP%\ixp000.tmp\genre
- %TEMP%\ixp000.tmp\regulated.pptx
- %TEMP%\ixp000.tmp\multimedia
- %TEMP%\ixp000.tmp\counters
- %TEMP%\ixp000.tmp\nl.pptx
- %TEMP%\ixp000.tmp\31604\math.exe
- %TEMP%\ixp000.tmp\31604\h
Удаляет файлы, которые сам же создал
- %TEMP%\ixp000.tmp\31604\h
Самоудаляется.
Сетевая активность
Подключается к
- 'cr###sa.cyou':443
TCP
Другие
- 'cr###sa.cyou':443
UDP
- DNS ASK Yw############NcsLvxWKpy.YwEgTRPThjfewCNcsLvxWKpy
- DNS ASK cr###sa.cyou
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\31604\math.exe' H
- '%TEMP%\ixp000.tmp\31604\math.exe' /AutoIt3ExecuteLine "Sleep(12460)"
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c XCpEIhE & type Nl.pptx | %comspec% (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /S /D /c" type Nl.pptx "
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\findstr.exe' /V "Hampton" Genre
- '<SYSTEM32>\at.exe' skjdjhfjshdfjioe4 (со скрытым окном)
