Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\dchcabfhcbdb.exe' 6-3-5-7-9-0-7-4-5-1-4 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
- '%TEMP%\File.exe'
Запускает на исполнение:
- '<SYSTEM32>\Wbem\wmic.exe' /output:%TEMP%\81428000546.txt bios get version
- '<SYSTEM32>\Wbem\wmic.exe' /output:%TEMP%\81428000546.txt bios get serialnumber
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsiB5F7.tmp\nsisunz.dll
- %TEMP%\xx49.exe
- %TEMP%\81428000546.txt
- %TEMP%\dchcabfhcbdb.zip
- %TEMP%\bwxhfhxb.kjg
- %TEMP%\xx49.dchcabfhcbdb
- %TEMP%\nsiB5F7.tmp\dpmez.dll
Удаляет следующие файлы:
- %TEMP%\81428000546.txt
Перемещает следующие файлы:
- %TEMP%\xx49.exe в %TEMP%\dchcabfhcbdb.exe
- %TEMP%\bwxhfhxb.kjg в %TEMP%\File.exe
Сетевая активность:
UDP:
- DNS ASK tl.##mcb.com
- DNS ASK tl.##mcd.com
- DNS ASK crl.microsoft.com
- DNS ASK sr#.###k-top-app.info
- DNS ASK t2.##mcb.com
- DNS ASK ct###.#indowsupdate.com
- DNS ASK t1.##mcb.com
- DNS ASK dn#.##ftncsi.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
