Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\{5EA03ISK-AF7S-0W7Z-4ZQ1-GBJNUCKXH1SC}\3pwozkcyr0xmi.exe'
- '<LS_APPDATA>\{5EA03ISK-AF7S-0W7Z-4ZQ1-GBJNUCKXH1SC}\bk0co8g.exe'
- '<LS_APPDATA>\{5EA03ISK-AF7S-0W7Z-4ZQ1-GBJNUCKXH1SC}\3pwozkcyr0xmi.exe' (загружен из сети Интернет)
- '<LS_APPDATA>\{5EA03ISK-AF7S-0W7Z-4ZQ1-GBJNUCKXH1SC}\bk0co8g.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /C <Текущая директория>\<Имя вируса>.bat
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\<Имя вируса>.pdf
- <LS_APPDATA>\Temp\<Имя вируса>.pdf
- <Текущая директория>\<Имя вируса>.bat
- <LS_APPDATA>\{5EA03ISK-AF7S-0W7Z-4ZQ1-GBJNUCKXH1SC}\bk0co8g.exe
- <LS_APPDATA>\{5EA03ISK-AF7S-0W7Z-4ZQ1-GBJNUCKXH1SC}\3pwozkcyr0xmi.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'mu########eia.web102.f1.k8.com.br':80
- 'ma########ta946.web102.f1.k8.com.br':80
TCP:
Запросы HTTP GET:
- ma########ta946.web102.f1.k8.com.br/Logomarca/honda.png
- ma########ta946.web102.f1.k8.com.br/Logomarca/hyundai.png
Запросы HTTP POST:
- mu########eia.web102.f1.k8.com.br/adm/contador.php
UDP:
- DNS ASK mu########eia.web102.f1.k8.com.br
- DNS ASK ma########ta946.web102.f1.k8.com.br
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'TFPlayMemories' WindowName: ''
