Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\Temp\inur04tjv.exe'
- '<LS_APPDATA>\{6LXSXZ55-KOLT-50IX-WIB3-V9FTA0T0VNDL}\u53ph704yaab.exe'
- '<LS_APPDATA>\Temp\inur04tjv.exe' (загружен из сети Интернет)
- '<LS_APPDATA>\{6LXSXZ55-KOLT-50IX-WIB3-V9FTA0T0VNDL}\u53ph704yaab.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /C <Текущая директория>\<Имя вируса>.bat
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\<Имя вируса>.pdf
- <LS_APPDATA>\Temp\<Имя вируса>.pdf
- <Текущая директория>\<Имя вируса>.bat
- <LS_APPDATA>\Temp\inur04tjv.exe
- <LS_APPDATA>\{6LXSXZ55-KOLT-50IX-WIB3-V9FTA0T0VNDL}\u53ph704yaab.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'so######reendimentos.com':80
- '20#.#8.128.188':80
TCP:
Запросы HTTP GET:
- 20#.#8.128.188/258456/0101.jpg
- 20#.#8.128.188/258456/0202.jpg
Запросы HTTP POST:
- so######reendimentos.com/adm/contador.php
UDP:
- DNS ASK so######reendimentos.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'TFrmBarVel' WindowName: ''
