Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\taskkill.exe /im chrome.exe /f
- <SYSTEM32>\wbem\wmiadap.exe /R /T
- <SYSTEM32>\taskkill.exe /im iexplore.exe /f
- <SYSTEM32>\taskkill.exe /im browser.exe /f
- <SYSTEM32>\taskkill.exe /im firefox.exe /f
Завершает или пытается завершить
следующие пользовательские процессы:
- chrome.exe
- firefox.exe
- iexplore.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\wbem\Performance\WmiApRpl_new.ini
- %PROGRAM_FILES%\azxtzffxmvwasaoubievfcmyguaneiklmyuqlfcjlbdlkjktwfevojumvjbrylhfjqrrmvrqyublcjlk.zip
Перемещает следующие файлы:
- <SYSTEM32>\wbem\Performance\WmiApRpl_new.ini в <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- <SYSTEM32>\wbem\Performance\WmiApRpl_new.h в <SYSTEM32>\wbem\Performance\WmiApRpl.h
Сетевая активность:
Подключается к:
- '0l#####0l0o00lilil.info':80
TCP:
Запросы HTTP GET:
- 0l#####0l0o00lilil.info/gorev.php?ok##
- 0l#####0l0o00lilil.info/ext.zip
- 0l#####0l0o00lilil.info/id.txt?0
UDP:
- DNS ASK 0l#####0l0o00lilil.info
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: '' WindowName: ''
