Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'XML3264' = '<Полный путь к файлу>'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\nso2.tmp\ns3.tmp' "%TEMP%\Ext\lgpo.exe" /t "%TEMP%\Ext\pol.txt"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Ext\id.txt
- %TEMP%\nso2.tmp\nsExec.dll
- %TEMP%\nso2.tmp\ns3.tmp
- %TEMP%\nso2.tmp\inetc.dll
- %TEMP%\Ext\LGPO.exe
- %TEMP%\Ext\pol.txt
- %TEMP%\nso2.tmp\nsJSON.dll
Удаляет следующие файлы:
- %TEMP%\nso2.tmp\ns3.tmp
Сетевая активность:
Подключается к:
- 'qr####os-mark2.club':80
TCP:
Запросы HTTP GET:
- http://qr####os-mark2.club/api/strapi?12#
UDP:
- DNS ASK qr####os-mark2.club
Другое:
Ищет следующие окна:
- ClassName: 'Chrome_WidgetWin_1' WindowName: ''
