Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\nvngxupdatecheckdaily_{6eefbfb0-bfb0-bfb0-bfb0-6eefbfb0bfb0}
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- fjtgisg
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\d47f.tmp
- %APPDATA%\fjtgisg
- %APPDATA%\chessvs
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\fjtgisg
- %APPDATA%\chessvs
Удаляет следующие файлы
- %TEMP%\d47f.tmp
Подменяет следующие файлы
- %TEMP%\d47f.tmp
Самоудаляется.
Сетевая активность
UDP
- DNS ASK ad####page75.com
- DNS ASK ma###erv82.club
- DNS ASK kx###v250.club
- DNS ASK ds###l94x.xyz
- DNS ASK fd###l85.club
Другое
Создает и запускает на исполнение
- '%APPDATA%\fjtgisg'
- '<SYSTEM32>\regsvr32.exe' /s /n /u /i:"%APPDATA%\chessvs" scrobj' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\taskeng.exe' {984311E5-CA3F-465E-B349-64A499F0E052} S-1-5-21-1960123792-2022915161-3775307078-1001:kuynczwm\user:Interactive:[1]
- '<SYSTEM32>\regsvr32.exe' /s /n /u /i:"%APPDATA%\chessvs" scrobj
