Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\9ebb3223-4405-43d7-b73e-02cb01b232ab.exe'
- '%TEMP%\9ebb3223-4405-43d7-b73e-02cb01b232ab.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %TEMP%\bda73abd-3270-4d46-b360-2a7f70e261e6.jpg
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\bda73abd-3270-4d46-b360-2a7f70e261e6.jpg
- %TEMP%\9ebb3223-4405-43d7-b73e-02cb01b232ab.exe
Сетевая активность:
Подключается к:
- 'gf##e.ru':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- gf##e.ru/d/tf/c04dab148e1512127086bed8e276a622/13726551/aSou/storage5-2-7-70272/aaa.jpg
- gf##e.ru/d/tf/7be69f8c80edbb5f01c6b53d97950bb4/13726552/a1aBw/storage5-3-7-70273/aqw2.exe
- wp#d/wpad.dat
UDP:
- DNS ASK gf##e.ru
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: '(null)'
