Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\c734e
- %ALLUSERSPROFILE%\l3fj2h
- %TEMP%\y56f
- %ALLUSERSPROFILE%\16y12
- %TEMP%\oca.hfe
- %ALLUSERSPROFILE%\xis\easll.emi
- %TEMP%\2.tmp
- %TEMP%\1.tmp
Удаляет следующие файлы:
- %APPDATA%\c734e
- %ALLUSERSPROFILE%\16y12
- %TEMP%\y56f
- %TEMP%\1.tmp
- %TEMP%\2.tmp
- %ALLUSERSPROFILE%\l3fj2h
Самоудаляется.
Сетевая активность:
Подключается к:
- 'tf###avds.in':80
TCP:
Запросы HTTP POST:
- http://tf###avds.in/luzgas/index.php
UDP:
- DNS ASK tf###avds.in
- DNS ASK microsoft.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
