Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\{BVWM0ZWT-82HG-U8W4-1JBV-FRTY79IG5SUS}\q0cj2f9.exe'
- '<LS_APPDATA>\{BVWM0ZWT-82HG-U8W4-1JBV-FRTY79IG5SUS}\buw46s5vux.exe'
- '<LS_APPDATA>\{BVWM0ZWT-82HG-U8W4-1JBV-FRTY79IG5SUS}\q0cj2f9.exe' (загружен из сети Интернет)
- '<LS_APPDATA>\{BVWM0ZWT-82HG-U8W4-1JBV-FRTY79IG5SUS}\buw46s5vux.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /C <Текущая директория>\<Имя вируса>.bat
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\<Имя вируса>.bat
- <Текущая директория>\<Имя вируса>.pdf
- <LS_APPDATA>\{BVWM0ZWT-82HG-U8W4-1JBV-FRTY79IG5SUS}\buw46s5vux.exe
- <LS_APPDATA>\{BVWM0ZWT-82HG-U8W4-1JBV-FRTY79IG5SUS}\q0cj2f9.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ca########achas.web114.f1.k8.com.br':80
- 'be########som.web102.f1.k8.com.br':80
TCP:
Запросы HTTP GET:
- be########som.web102.f1.k8.com.br/justoss/bresdre.png
- be########som.web102.f1.k8.com.br/justoss/yalosfre.png
UDP:
- DNS ASK ca########achas.web114.f1.k8.com.br
- DNS ASK be########som.web102.f1.k8.com.br
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'TVGD' WindowName: '(null)'
