Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' /pid=4088
- '<SYSTEM32>\ping.exe' /c ""<Текущая директория>\update.bat" "
- '<SYSTEM32>\ping.exe' /pid=3164
- '<SYSTEM32>\ping.exe' /pid=2708
- '<SYSTEM32>\ping.exe' /pid=1732
- '<SYSTEM32>\taskkill.exe' /F /IM "<Имя вируса>.exe"
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\update.bat" "
- '<SYSTEM32>\taskkill.exe' 1.1.1.1 -n 1 -w 500
- '<SYSTEM32>\ping.exe' 1.1.1.1 -n 1 -w 500
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
- <SYSTEM32>\ping.exe
- <SYSTEM32>\taskkill.exe
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\update.bat
- <Полный путь к вирусу>_new
- <Текущая директория>\debug.txt
Сетевая активность:
Подключается к:
- 'www.lo###ndit.net':80
TCP:
Запросы HTTP GET:
- www.lo###ndit.net/release/ac/<Служебное имя>.exe
- www.lo###ndit.net/release/ac/version.txt
UDP:
- DNS ASK www.lo###ndit.net
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
