Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\sqlite3.exe' %TEMP%\nsq9.tmp
- '%TEMP%\nsc3.tmp\ns4.tmp' wmic useraccount get name,sid
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmic.exe' /OUTPUT:%TEMP%\nsxA.tmp PROCESS get Caption
- '<SYSTEM32>\wbem\wmic.exe' useraccount get name,sid
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsq9.tmp
- %TEMP%\nsq8.tmp
- %TEMP%\nsc3.tmp\nsJSON.dll
- %TEMP%\TempWmicBatchFile.bat
- %TEMP%\nsc3.tmp\MoreInfo.dll
- %TEMP%\nsc3.tmp\DcryptDll.dll
- %TEMP%\nsxA.tmp
- %TEMP%\nsc3.tmp\IpConfig.dll
- %TEMP%\sqlite3.exe
- %TEMP%\nsc3.tmp\ExecCmd.dll
- %TEMP%\nsc3.tmp\nsExec.dll
- %TEMP%\nsc3.tmp\ns4.tmp
- <Текущая директория>\log.txt
- %TEMP%\nsr2.tmp
- %TEMP%\nsc3.tmp\System.dll
- %TEMP%\tmp7.tmp
- <SYSTEM32>\wbem\AutoRecover\23BDE61F1F4FACE17E9B0C01F2A1FD9B.mof
- <SYSTEM32>\wbem\AutoRecover\C8463ECBE33BC240263A0B094E46D510.mof
- %TEMP%\tmp5.tmp
- %TEMP%\tmp6.tmp
Удаляет следующие файлы:
- %TEMP%\nsq8.tmp
- %TEMP%\nsq9.tmp
- %TEMP%\sqlite3.exe
- %TEMP%\nsc3.tmp\ns4.tmp
- %TEMP%\tmp5.tmp
- %TEMP%\tmp6.tmp
- %TEMP%\tmp7.tmp
