Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\starts.exe'
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\Deorro-Five_Hours_Original_Mix.mp3
- %TEMP%\RarSFX0\starts.exe
- %ALLUSERSPROFILE%\Desktop\Download Deorro-Five_Ho...lnk
Сетевая активность:
Подключается к:
- 'li##mp3.co':80
- 'go######hd5xekh.nackca.ru':80
- 'do###oad-mp3.in':80
TCP:
Запросы HTTP GET:
- li##mp3.co/audios/aHR0cDovL2NzMS00MXY0LnZrLm1lL3A4L2M4M2YyN2FkOWZiYzJkLm1wMz9leHRyYT1rNVZwbTdDcnlmWXdCM3RlbWh4U0FLdGlBdmFTam9ZOEZRS1VDcnAtOWhmeURTNHhfOUZ0QVEtSE9ZN2hTR0dZckdWRDdOeXpaeXlScXV2bXJnaWNNQ0x6Wm1QelhhMU8/Deorro-Five_Hours_Original_Mix
Запросы HTTP POST:
- go######hd5xekh.nackca.ru/api/index
- do###oad-mp3.in/api/index
UDP:
- DNS ASK li##mp3.co
- DNS ASK go######hd5xekh.nackca.ru
- DNS ASK do###oad-mp3.in
Другое:
Ищет следующие окна:
- ClassName: 'ReBarWindow32' WindowName: ''
- ClassName: 'WMP9DeskBand' WindowName: 'WMP9DeskBand'
- ClassName: 'WMPlayerApp' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
