Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<Текущая директория>\nnie.exe'
- '<Текущая директория>\yoyo1299.exe'
- '<Текущая директория>\205441.exe'
- '<Текущая директория>\3.exe'
- '<Текущая директория>\LeeBoo.exe'
- '<Текущая директория>\cpm.exe'
- '<Текущая директория>\fengsu.exe'
- '<Текущая директория>\fengsu.exe' (загружен из сети Интернет)
- '<Текущая директория>\205441.exe' (загружен из сети Интернет)
- '<Текущая директория>\3.exe' (загружен из сети Интернет)
- '<Текущая директория>\cpm.exe' (загружен из сети Интернет)
- '<Текущая директория>\LeeBoo.exe' (загружен из сети Интернет)
- '<Текущая директория>\nnie.exe' (загружен из сети Интернет)
- '<Текущая директория>\yoyo1299.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\conhost.exe'
- '<SYSTEM32>\cmd.exe' /c ""kill.bat""
- '%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE' http://www.wm##ree.cn/cpa/tj/conimes.htm
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\3.exe
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\SOXZEUJX\205441[1].exe
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\BOWDBRP7\3[1].exe
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\YF7T7AK2\nnie[1].exe
- <Текущая директория>\nnie.exe
- <Текущая директория>\205441.exe
- %WINDIR%\Temp\MPTelemetrySubmit\watson_manifest.txt
- C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_80070422_76a4385aa7fdcd3dc476f7ea51e8ea5565f02fd_0ce12210\Report.wer
- %WINDIR%\Temp\MPTelemetrySubmit\client_manifest.txt
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\click[1].php
- <Текущая директория>\kill.bat
- <Текущая директория>\yoyo1299.exe
- <Текущая директория>\fengsu.exe
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\YF7T7AK2\cpm[1].exe
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\conimes[1].htm
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\BOWDBRP7\fengsu[1].exe
- <Текущая директория>\cpm.exe
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\SOXZEUJX\IE9CompatViewList[1].xml
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\yoyo1299[1].exe
- <Текущая директория>\LeeBoo.exe
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\BOWDBRP7\favicon[2].ico
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\BOWDBRP7\LeeBoo[1].exe
Удаляет следующие файлы:
- %TEMP%\~DF8E2109AB7FAB36F8.TMP
- %WINDIR%\Temp\MPTelemetrySubmit\watson_manifest.txt
- %WINDIR%\Temp\MPTelemetrySubmit\client_manifest.txt
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\BOWDBRP7\favicon[2].ico
- <Текущая директория>\yoyo1299.exe
- <Текущая директория>\205441.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- '20#.#6.232.182':80
- 'localhost':61685
- 'www.mm##rce.com':80
- 'www.no##8.cn':80
- 'localhost':57752
- 'localhost':49572
- '20#.#6.232.182':443
- 'www.wm##ree.cn':80
TCP:
Запросы HTTP GET:
- www.no##8.cn/cpa/nnie.exe
- www.no##8.cn/cpa/yoyo1299.exe
- www.wm##ree.cn/cpa/3.exe
- www.mm##rce.com/code/v169/click.php?ui##########
- www.wm##ree.cn/cpa/205441.exe
- 20#.#6.232.182/IE9CompatViewList.xml
- www.wm##ree.cn/cpa/tj/conimes.htm
- www.wm##ree.cn/cpa/fengsu.exe
- www.wm##ree.cn/cpa/cpm.exe
- www.wm##ree.cn/cpa/LeeBoo.exe
- www.wm##ree.cn/favicon.ico
UDP:
- DNS ASK wa####.microsoft.com
- DNS ASK www.no##8.cn
- DNS ASK www.mm##rce.com
- DNS ASK ie######t.ie.microsoft.com
- DNS ASK www.wm##ree.cn
- DNS ASK ur#.##crosoft.com
- '22#.0.0.252':5355
