Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\update.exe
- <SYSTEM32>\tool.exe
- <SYSTEM32>\download.exe
- <SYSTEM32>\regedit.exe
- <SYSTEM32>\post.exe
- <SYSTEM32>\tool.exe (загружен из сети Интернет)
- <SYSTEM32>\download.exe (загружен из сети Интернет)
- <SYSTEM32>\post.exe (загружен из сети Интернет)
- <SYSTEM32>\update.exe (загружен из сети Интернет)
- <SYSTEM32>\regedit.exe (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\wscript.exe "%TEMP%\SFC1.tmp.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\update.exe
- <SYSTEM32>\tool.exe
- <SYSTEM32>\download.exe
- <SYSTEM32>\regedit.exe
- %TEMP%\SFC1.tmp
- %TEMP%\SFC1.tmp.vbs
- <SYSTEM32>\post.exe
Удаляет следующие файлы:
- %TEMP%\SFC1.tmp
- %TEMP%\SFC1.tmp.vbs
Сетевая активность:
Подключается к:
- 'ww###.atpages.jp':80
TCP:
Запросы HTTP GET:
- ww###.atpages.jp/amoimoren/tool.exe
- ww###.atpages.jp/amoimoren/download.exe
- ww###.atpages.jp/amoimoren/update.exe
- ww###.atpages.jp/amoimoren/post.exe
- ww###.atpages.jp/amoimoren/regedit.exe
UDP:
- DNS ASK ww###.atpages.jp
