Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe ""%TEMP%\ins1.tmp"",thlruuiplkxztaw install
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\ins1.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ce##s.co.be':80
TCP:
Запросы HTTP GET:
- ce##s.co.be/VXWClwGXlfH9qxKj1G2R9qva5neaVNKx8N3hJY+tnYmAjj8LHIHlkfq5Z8owTOwSXIDLTZqNAT7FAC6/eN5M1M26xka674OFlgzKrQMzmemwTA==
- ce##s.co.be/EJSnsYae+xBaN4zRtZUhVtb1ouzoNiL1y5OS84eUUumEPbI/5Ko19tiMqcVfq74hVvLY4lBKahP0LtIzNfguU9taoxJG+jGM0mzyA6yiAlN9RXLOyBIRJ/UeK2wKIxB0giT5fLq6L+9f1Fzn/B44csh0Su+83XmJrkpbj/w5Avp3uLozjldeG3v0B5EGX2vNGvG8kFXZ91E=
UDP:
- DNS ASK ce##s.co.be
- '<IP-адрес в локальной сети>':1034
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
