Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\WScript.exe' "<Текущая директория>\tem.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\YF7T7AK2\x1[1].exe
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\LD_2060_S[1].exe
- <Текущая директория>\tem.vbs
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\BOWDBRP7\x[1].exe
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\YF7T7AK2\setup_t10199[1].exe
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\pczh_113_25290[1].exe
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\SOXZEUJX\114gglm_011[1].exe
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\BOWDBRP7\sonlinetime_1135[1].exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'wu##.#####n-hangzhou.aliyuncs.com':80
- 'do####ad.035668.com':80
- 'qq#####94.b.xundisk.net':80
- 'xz.##7080.com':80
- 'kc#.#snis.com':3234
- 'do##.yinyue.fm':6677
- 'do##.##aoxinrili.com':80
- 'xz.###hicheng.com':80
TCP:
Запросы HTTP GET:
- xz.##7080.com/download.php/LD_2060_S.exe
- qq#####94.b.xundisk.net/x1.exe
- qq#####94.b.xundisk.net/x.exe
- wu##.#####n-hangzhou.aliyuncs.com/qd/114gglm_011.exe
- xz.###hicheng.com/new/pczh_113_25290.exe
- do##.##aoxinrili.com/hezi/jm/setup_t10199.exe
- do####ad.035668.com/onlinetime/sonlinetime_1135.exe
UDP:
- DNS ASK wu##.#####n-hangzhou.aliyuncs.com
- DNS ASK do####ad.035668.com
- DNS ASK qq#####94.b.xundisk.net
- DNS ASK xz.##7080.com
- DNS ASK do##.##aoxinrili.com
- DNS ASK kc#.#snis.com
- DNS ASK do##.yinyue.fm
- DNS ASK xz.###hicheng.com
- DNS ASK dn#.##ftncsi.com
