Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /T /IM 5276
Патчит код
в динамической библиотеке NTDLL
- Процесс ywmcpsd.exe, модуль ntdll.dll
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
- ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'RegmonClass', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\crashlog.txt
Сетевая активность
Подключается к
- 'localhost':49692
- 'ba####d.egmokka.com':443
- '19#.#32.210.172':80
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?2a##############
Другие
- 'localhost':49693
- 'ba####d.egmokka.com':443
UDP
- DNS ASK ba####d.egmokka.com
Другое
Ищет следующие окна
- ClassName: 'Registry Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
- ClassName: '18467-41' WindowName: ''
- ClassName: '' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C cmd.exe /C taskkill /F /T /IM 5276 (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C taskkill /F /T /IM 5276
