Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\MalwareScan.exe' silent
- '%TEMP%\preinstall.exe' silent
Запускает на исполнение:
- '<SYSTEM32>\dumprep.exe' 2904 -dm 7 7 %TEMP%\WER2df6.dir00\MalwareScan.exe.hdmp 16325836412027520
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\dumprep.exe' 2904 -dm 7 7 %TEMP%\WER2df6.dir00\MalwareScan.exe.mdmp 16325836412027500
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\WER2df6.dir00\MalwareScan.exe.mdmp
- %TEMP%\preinstall.exe
- %TEMP%\WER2df6.dir00\MalwareScan.exe.hdmp
- %TEMP%\WER2df6.dir00\manifest.txt
- %TEMP%\WER2df6.dir00\appcompat.txt
- %TEMP%\Pattern.dat
- %TEMP%\HelperModule.dll
- %TEMP%\FP1.tmp
- %TEMP%\hmkernel.sys
- %TEMP%\MalwareScan.exe
- %TEMP%\loadDll.exe
Удаляет следующие файлы:
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- <SYSTEM32>\PerfStringBackup.TMP
- %TEMP%\FP1.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\sver_new[1].htm
Сетевая активность:
Подключается к:
- 'li#####ate.alyac.co.kr':80
TCP:
Запросы HTTP GET:
- li#####ate.alyac.co.kr/etc/analysis/scanner/sver_new.htm
UDP:
- DNS ASK li#####ate.alyac.co.kr
