Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\ping.exe
- %WINDIR%\syswow64\notepad.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\3624-3368-<Имя файла>.exe-18-14-02-180.dump
- %TEMP%\fbyv7ekrxkmju0b.exe
- %TEMP%\4wmwbndz2rbxbe8.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\4wmwbndz2rbxbe8.exe.log
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\fbyv7ekrxkmju0b.exe.log
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\fbyv7ekrxkmju0b.exe
- %TEMP%\4wmwbndz2rbxbe8.exe
Сетевая активность
Подключается к
- 'ip##pi.com':80
TCP
Запросы HTTP GET
- http://ip##pi.com/line/?fi############
UDP
- DNS ASK ke##uth.win
- DNS ASK ip##pi.com
Другое
Создает и запускает на исполнение
- '%TEMP%\fbyv7ekrxkmju0b.exe'
- '%TEMP%\4wmwbndz2rbxbe8.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\ping.exe'
- '%WINDIR%\syswow64\notepad.exe'
- '%WINDIR%\syswow64\cmd.exe' /c timeout /t 1 && DEL /f 4wmWBndZ2rBxbE8.exe
- '%WINDIR%\syswow64\cmd.exe' /c timeout /t 1 && DEL /f fbYv7eKRXkmju0b.exe
- '%WINDIR%\syswow64\timeout.exe' /t 1
