Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'phrgkmalb' = '"%APPDATA%\Microsoft\Lzapnmnmz\lzapnmnm.exe"'
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\{229C2878-90D3-4853-AA22-EDAE6CA774B7}.job
- %WINDIR%\Tasks\{C3D57B53-2F3A-4BB8-A0AE-C488B9033207}.job
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- C:\tmp_dbg\dbg_mobsync.exe_3144_qbotdll.txt
- C:\tmp_dbg\dbg_mobsync.exe_3144.txt
- %APPDATA%\Microsoft\lzapnmnm.wpl
- C:\tmp_dbg\dbg_lzapnmnm.exe_3440.txt
- C:\tmp_dbg\dbg_lzapnmnm.exe_3136.txt
- %APPDATA%\Microsoft\Lzapnmnmz\lzapnmn.dat
- C:\tmp_dbg\dbg_<Имя файла>.exe_2928.txt
- %HOMEPATH%\nahagxkofkgvhjpaoytqrtal.vbs
- %HOMEPATH%\qknaqkndpukzabzd.vbs
Удаляет следующие файлы:
- %HOMEPATH%\nahagxkofkgvhjpaoytqrtal.vbs
Другое:
Создает и запускает на исполнение:
- '%APPDATA%\Microsoft\Lzapnmnmz\lzapnmnm.exe'
- '%APPDATA%\Microsoft\Lzapnmnmz\lzapnmnm.exe' /W
- '<SYSTEM32>\cscript.exe' "%HOMEPATH%\qknaqkndpukzabzd.vbs"
- '<SYSTEM32>\cscript.exe' "%HOMEPATH%\nahagxkofkgvhjpaoytqrtal.vbs"
Запускает на исполнение:
- '<SYSTEM32>\schtasks.exe' /create /tn {229C2878-90D3-4853-AA22-EDAE6CA774B7} /tr "\"%APPDATA%\Microsoft\Lzapnmnmz\lzapnmnm.exe\"" /sc HOURLY /mo 5 /ru ""
- '<SYSTEM32>\schtasks.exe' /create /tn {C3D57B53-2F3A-4BB8-A0AE-C488B9033207} /tr "cmd.exe /C \"start /MIN <SYSTEM32>\cscript.exe //E:javascript \"%APPDATA%\Microsoft\lzapnmnm.wpl\"\"" /sc WEEKLY /D TUE /ST 12:00:00 /ru ...
- '<SYSTEM32>\mobsync.exe'
