Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\at.exe' 8765867586876879
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\surname.wbk
- %TEMP%\ixp000.tmp\ebay
- %TEMP%\ixp000.tmp\detective
- %TEMP%\ixp000.tmp\gardening.wbk
- %TEMP%\ixp000.tmp\nt
- %TEMP%\ixp000.tmp\revenues
- %TEMP%\ixp000.tmp\31233\wow.exe
- %TEMP%\ixp000.tmp\31233\e
Удаляет файлы, которые сам же создал
- %TEMP%\ixp000.tmp\revenues
- %TEMP%\ixp000.tmp\nt
- %TEMP%\ixp000.tmp\gardening.wbk
- %TEMP%\ixp000.tmp\detective
- %TEMP%\ixp000.tmp\ebay
- %TEMP%\ixp000.tmp\surname.wbk
- %TEMP%\ixp000.tmp\31233\wow.exe
- %TEMP%\ixp000.tmp\31233\e
Сетевая активность
Подключается к
- '14#.#24.246.132':443
UDP
- DNS ASK qD#######lLznb.qDuqvZkcZlLznb
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\31233\wow.exe' e
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ycUFsa & type Surname.wbk | %comspec% (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /S /D /c" type Surname.wbk "
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\cmd.exe' /c set /p ="MZ"
- '<SYSTEM32>\cmd.exe' /c findstr /V "earning" Revenues
- '<SYSTEM32>\findstr.exe' /V "earning" Revenues
- '<SYSTEM32>\cmd.exe' /c copy /b /y 31233\Wow.exe + Ebay + Nt + Detective 31233\Wow.exe
- '<SYSTEM32>\cmd.exe' /c copy /b /y ..\Gardening.wbk e
- '<SYSTEM32>\at.exe' 8765867586876879 (со скрытым окном)
