Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe "%TEMP%\ins1.tmp",thlruuiplkxztaw install
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\ins1.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- 'cr##n.co.be':80
TCP:
Запросы HTTP GET:
- cr##n.co.be/SWIPsCXLb2fAzeXBxdUYQCiJuPD8Dpwg3HEzsMh/j3skoYhEU1GQtBSsErxe4hV54o76iA5H5NNksa2MENtEYHK02k+FV/PGX0nNY871N7OoYQ==
- cr##n.co.be/PkFISrFvaY2vJTngPEOH396V1DybDGJ2lOeDH0P11G8wfea0kel2LajZ4KkDlcPOnSB0Iq6yWPmZrZSUBfVOdHlINMi+/r1c9vYBW+5Tqd+uQRJ2W0cA5osJUwA7pygoEtliY9K255KT7OlMpwlKqAiTmtWXtfe1e84pepY9wCg6Au7RgTOL2/dAveqk9SgSe+Hl1DxKsCI=
UDP:
- DNS ASK cr##n.co.be
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
