Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Изменения в файловой системе:
Удаляет следующие файлы:
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
Сетевая активность:
Подключается к:
- 'zj###rzvtg.org':80
- 'rm###fjxwif.com':80
- 'un##rjx.com':80
- 'mw###wuxy.biz':80
- 'gu##mtr.ru':80
- 'ge#####exwithjimmy.org':80
- 'jk###sbwg.com':80
- 'sn###yxstk.org':80
TCP:
Запросы HTTP POST:
- rm###fjxwif.com/qaXYkB?KO#######################################
- jk###sbwg.com/6jYscb?TV#########################
- zj###rzvtg.org/dF5F0tj?gP#########################
- un##rjx.com/cD7R?Xs###########################################################
- mw###wuxy.biz/j1DI7kg?Ln#############################################
- sn###yxstk.org/Mn8Kyz?qI###############################
- ge#####exwithjimmy.org/Ogs5ep?Gh######################################################################
- ge#####exwithjimmy.org/ohDfdO?iU##################################################################################
- ge#####exwithjimmy.org/zCcReM8fq?gv###################################################
- gu##mtr.ru/kIw8sV2rb?rJ#######################################################################
- ge#####exwithjimmy.org/sNJXjg?gn#############################################################################################
UDP:
- DNS ASK zj###rzvtg.org
- DNS ASK rm###fjxwif.com
- DNS ASK mw###wuxy.biz
- DNS ASK fm###qczxd.biz
- DNS ASK un##rjx.com
- DNS ASK ge#####exwithjimmy.org
- DNS ASK microsoft.com
- DNS ASK gu##mtr.ru
- DNS ASK jk###sbwg.com
- DNS ASK sn###yxstk.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
