Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\{ONSUCY6N-RXGS-0RIF-Z3ZD-27WCZTEE3S7M}\aurdcqg6j0vd.exe'
- '<LS_APPDATA>\Temp\k9ywbr72t.exe'
- '<LS_APPDATA>\{ONSUCY6N-RXGS-0RIF-Z3ZD-27WCZTEE3S7M}\aurdcqg6j0vd.exe' (загружен из сети Интернет)
- '<LS_APPDATA>\Temp\k9ywbr72t.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /C <Текущая директория>\<Имя вируса>.bat
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\<Имя вируса>.pdf
- <LS_APPDATA>\Temp\<Имя вируса>.pdf
- <Текущая директория>\<Имя вируса>.bat
- <LS_APPDATA>\{ONSUCY6N-RXGS-0RIF-Z3ZD-27WCZTEE3S7M}\aurdcqg6j0vd.exe
- <LS_APPDATA>\Temp\k9ywbr72t.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ne####veiculos.com':80
- '20#.#8.200.112':80
TCP:
Запросы HTTP GET:
- 20#.#8.200.112/Pluss/Plancton.png
- 20#.#8.200.112/Pluss/capst.png
Запросы HTTP POST:
- ne####veiculos.com/adm/contador.php
UDP:
- DNS ASK ne####veiculos.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'TFrmBarSartrek' WindowName: ''
