Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\dumprep.exe' 1660 -dm 7 7 %TEMP%\WEReb8c.dir00\ctfmon.exe.mdmp 16325836412027252
- '<SYSTEM32>\schtasks.exe' /create /sc onlogon /tn "bootupx32" /rl highest /tr "'%ProgramFiles%\System32\bootup.exe' /startup" /f
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\ctfmon.exe
следующие пользовательские процессы:
- ashAvast.exe
Завершает или пытается завершить
следующие пользовательские процессы:
- oncbcli.exe
- lin.bin
- lotroclient.exe
- magent.exe
- iscc.exe
- bk.exe
- ClamWin.exe
- ashAvast.exe
- InphaseNXD.exe
- l2.bin
- AVP.EXE
- dnf.exe
- dekaron.exe
- ash.exe
- Mir3Game.exe
- ashAvSrv.exe
- MCAGENT.EXE
- cbsmain.exe
- ISClient.exe
- 360tray.exe
- avgcc.exe
- kb_cli.ex
Изменения в файловой системе:
Создает следующие файлы:
- %ProgramFiles%\System32\bootup.exe
- %TEMP%\svhost.exe
Сетевая активность:
Подключается к:
- 'ml#####a.securedns.site':5010
UDP:
- DNS ASK ml#####a.securedns.site
