Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'cbsmainws' = '"<SYSTEM32>\WScript.exe" "%APPDATA%\cbsmain local files\start.vbs" //B "%1" %*'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\cbsmainws.vbs
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\cbsmain local files\data.exe' local files\data.exe
Внедряет код в
следующие пользовательские процессы:
- data.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\cbsmain local files\readme.xml8.txt
- %APPDATA%\cbsmain local files\readme.xml3.txt
- %APPDATA%\cbsmain local files\data.exe
- %APPDATA%\cbsmain local files\readme.pdf2.txt
- <Текущая директория>\license.xml4.txt
- <Текущая директория>\readme.xml3.txt
- <Текущая директория>\readme.xml2.txt
- %APPDATA%\cbsmain local files\cbsmain.exe
- %APPDATA%\cbsmain local files\readme.xml2.txt
- %APPDATA%\cbsmain local files\start.vbs
Сетевая активность:
Подключается к:
- 'xm#.##nercircle.com':80
- 'www.mi###circle.com':443
UDP:
- DNS ASK xm#.##nercircle.com
- DNS ASK www.mi###circle.com
