Техническая информация
Вредоносные функции:
Внедряет код в
следующие пользовательские процессы:
- svchost.exe
Завершает или пытается завершить
следующие пользовательские процессы:
- ge.exe
- bdagent.exe
- zlclient.exe
- outpost.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: 'OllyDBg'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\svchost.exe
- %TEMP%\w3lxglxm.0.cs
- %TEMP%\w3lxglxm.cmdline
- %TEMP%\w3lxglxm.out
- %TEMP%\CSC1.tmp
- %TEMP%\RES2.tmp
- %TEMP%\w3lxglxm.dll
- <Текущая директория>\DNS.bat
Удаляет следующие файлы:
- %TEMP%\RES2.tmp
- %TEMP%\CSC1.tmp
- %TEMP%\w3lxglxm.out
- %TEMP%\w3lxglxm.dll
- %TEMP%\w3lxglxm.cmdline
- %TEMP%\w3lxglxm.0.cs
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: 'ObsidianGUI' WindowName: ''
- ClassName: 'WinDbgFrameClass' WindowName: ''
- ClassName: 'ID' WindowName: ''
Создает и запускает на исполнение:
- '%APPDATA%\svchost.exe'
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\w3lxglxm.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES2.tmp" "%TEMP%\CSC1.tmp"
- '<SYSTEM32>\cmd.exe' /c echo Y|CACLS "C:\ProgramData\{PMLAHG1U-OYGS-VPFI-5ID92TBXPEDD}" /P "%USERNAME%:R"
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\DNS.bat" "
- '<SYSTEM32>\cmd.exe' /c echo Y|CACLS "C:\ProgramData\{PMLAHG1U-OYGS-VPFI-5ID92TBXPEDD}\Isass.exe" /P "%USERNAME%:R"
- '<SYSTEM32>\cmd.exe' /S /D /c" echo Y"
- '<SYSTEM32>\ipconfig.exe' /flushdnsipconfig/releaseipconfig/renew
- '<SYSTEM32>\cacls.exe' "C:\ProgramData\{PMLAHG1U-OYGS-VPFI-5ID92TBXPEDD}" /P "%USERNAME%:R"
- '<SYSTEM32>\cacls.exe' "C:\ProgramData\{PMLAHG1U-OYGS-VPFI-5ID92TBXPEDD}\Isass.exe" /P "%USERNAME%:R"
