Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updaten
- <SYSTEM32>\tasks\updater
Вредоносные функции
Загружает и запускает на исполнение
- https://3.top4top.net/p_1349kvnul1.jpg как \$env:appdata\updaten\spoolsvs.exe\
- https://1.top4top.net/p_1357dcqww1.jpg как \$env:appdata\updater\spools.exe\
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\Г©osya1.txt
- %TEMP%\Г©osya2.txt
- %TEMP%\scmvc.exe
- %TEMP%\tmp2d0.tmp.bat
- %TEMP%\client.exe
- <LS_APPDATA>\microsoft\windows\history\history.ie5\mshist012019101520191016\index.dat
- %TEMP%\tmp124d.tmp.bat
Удаляет следующие файлы
- %TEMP%\tmp2d0.tmp.bat
- %TEMP%\tmp124d.tmp.bat
Сетевая активность
Подключается к
- '18#.#60.30.132':80
UDP
- DNS ASK 3.###4top.net
- DNS ASK 1.###4top.net
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\scmvc.exe'
- '%TEMP%\client.exe'
- '%TEMP%\scmvc.exe' ' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp2D0.tmp.bat" "' (со скрытым окном)
- '%TEMP%\client.exe' ' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp124D.tmp.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp2D0.tmp.bat" "
- '<SYSTEM32>\schtasks.exe' /Create /SC MINUTE /MO 1 /TN "Updaten" /TR "%APPDATA%\updaten\spoolsvs.exe"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp124D.tmp.bat" "
- '<SYSTEM32>\taskeng.exe' {EF67FE19-F002-4D85-839B-B13DC66617E1} S-1-5-21-1960123792-2022915161-3775307078-1001:wksqxyhya\user:Interactive:[1]
- '<SYSTEM32>\schtasks.exe' /Create /SC MINUTE /MO 1 /TN "Updater" /TR "%APPDATA%\updater\spools.exe"
