Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\kp.exe'
- '%TEMP%\checker2.exe' /cid=232 /hash=tti36i /subid=1003
- '%TEMP%\checker.exe' /korem
- '%TEMP%\prechecker.exe' -c=5391 -p=15
- '%TEMP%\kp.exe' (загружен из сети Интернет)
- '%TEMP%\checker2.exe' (загружен из сети Интернет)
- '%TEMP%\prechecker.exe' (загружен из сети Интернет)
- '%TEMP%\checker.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\checker2.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\click[1]
- %TEMP%\kp.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\KeyPlayerSetupSilent[1].exe
- %TEMP%\checker.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\KDLdr2[1].exe
- %TEMP%\nsr2.tmp\InetLoad.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\KeyPlayer_5091-1002[1].exe
- %TEMP%\prechecker.exe
Удаляет следующие файлы:
- %TEMP%\nsr2.tmp\InetLoad.dll
Сетевая активность:
Подключается к:
- 'sr###.#tats-station.com':80
- 'js#.##aderus.com':80
- '8a##################-c2929775a2dd90f9c3f0bcc59e731f1d.r57.cf2.rackcdn.com':80
TCP:
Запросы HTTP GET:
- sr###.#tats-station.com/srv/click/?pr######################
- 8a##################-c2929775a2dd90f9c3f0bcc59e731f1d.r57.cf2.rackcdn.com/KeyPlayerSetupSilent.exe
- 8a##################-c2929775a2dd90f9c3f0bcc59e731f1d.r57.cf2.rackcdn.com/KDLdr2.exe
- js#.##aderus.com/apps/dist/KeyPlayer_5091-1002.exe
UDP:
- DNS ASK sr###.#tats-station.com
- DNS ASK js#.##aderus.com
- DNS ASK 8a##################-c2929775a2dd90f9c3f0bcc59e731f1d.r57.cf2.rackcdn.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
