Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Explorers' = '%WINDIR%\explorer.exe /root <SYSTEM32>\rundll32.exe ..\windows\system32\user32.dll.ShellExecute(%s), D:\System_VoIume_lnfor...
- [<HKCU>\Software\Classes\exefiles\shell\open\command] '' = '"D:\System_VoIume_lnformation\Jnt\roposemo\explorers.exe" rts "%1"'
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /im svcnost.exe /im svcnosts.exe /f
Изменения в файловой системе
Создает следующие файлы
- C:\files .exe
- C:\show hidden files.bat
- D:\files .exe
- D:\show hidden files.bat
- D:\sefera\jnt\rirouakok\svcnost.exe
- D:\sefera\jnt\rirouakok\svcnosts.exe
- D:\sefera\jnt\rirouakok\gotera.bmp
- D:\system_voiume_lnformation\jnt\roposemo\explorers.exe
- D:\system_voiume_lnformation\jnt\roposemo\gotera.bmp
- D:\system_voiume_lnformation\jnt\roposemo\bmz\explorer.exeВќ
- D:\sefera\desktop.ini
- D:\sefera\jnt\rirouakok\desktop.ini
- D:\system_voiume_lnformation\jnt\roposemo\renf.exe
Присваивает атрибут 'скрытый' для следующих файлов
- D:\sefera\desktop.ini
- D:\sefera\jnt\rirouakok\desktop.ini
Удаляет следующие файлы
- D:\sefera\jnt\rirouakok\gotera.bmp
- D:\sefera\jnt\rirouakok\svcnost.exe
- D:\sefera\jnt\rirouakok\svcnosts.exe
- D:\sefera\jnt\rirouakok\desktop.ini
- D:\system_voiume_lnformation\jnt\roposemo\explorers.exe
- D:\system_voiume_lnformation\jnt\roposemo\gotera.bmp
- D:\system_voiume_lnformation\jnt\roposemo\renf.exe
- D:\system_voiume_lnformation\jnt\roposemo\bmz\explorer.exeВќ
Сетевая активность
UDP
- DNS ASK cl######rch.firebaseapp.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- 'D:\sefera\jnt\rirouakok\svcnosts.exe' fdrg
- 'D:\system_voiume_lnformation\jnt\roposemo\renf.exe' dpu
- 'D:\sefera\jnt\rirouakok\svcnost.exe' nm
- '<SYSTEM32>\cmd.exe' /c cacls D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /r user /e /t' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c attrib "D:\System_VoIume_lnformation\Jnt\roposemo*" -h -s -r /d' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls "D:\System_VoIume_lnformation\Jnt\roposemo" /g everyone:f /t /c /e' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c rd "D:\sefera\Jnt\rirouakok" /s /q' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c del "D:\sefera\Jnt\rirouakok" /f /s /q' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c attrib "D:\sefera\Jnt\rirouakok*" -h -s -r /d' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /r administrators /e /t' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c del "D:\System_VoIume_lnformation\Jnt\roposemo" /f /s /q' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /g everyone:f /e /t' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls D:\sefera\Jnt\rirouakok\..\.. /r user /e /t' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls D:\sefera\Jnt\rirouakok\..\.. /r administrators /e /t' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls D:\sefera\Jnt\rirouakok\..\.. /g everyone:f /e /t' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c taskkill /im svcnost.exe /im svcnosts.exe /f' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls "D:\sefera\Jnt\rirouakok" /g everyone:f /t /c /e' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls n:\sefera\Jnt\null\..\.. /g everyone:f /e /t' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /d everyone /e' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c attrib D:\sefera\Jnt\rirouakok\..\..\desktop.ini +s +h' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /d administrators /e' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls D:\sefera\Jnt\rirouakok\..\.. /d user /e' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls D:\sefera\Jnt\rirouakok\..\.. /d everyone /e' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls D:\sefera\Jnt\rirouakok\..\.. /d administrators /e' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c attrib D:\System_VoIume_lnformation\Jnt\roposemo\..\.. +r +s +h' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls n:\sefera\Jnt\null\..\.. /r administrators /e /t' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c attrib D:\sefera\Jnt\rirouakok\desktop.ini +s +h' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /d user /e' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c attrib D:\sefera\Jnt\rirouakok\..\.. +r +s +h' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls n:\System_VoIume_lnformation\Jnt\null\..\.. /r user /e /t' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls n:\System_VoIume_lnformation\Jnt\null\..\.. /r administrators /e /t' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls n:\System_VoIume_lnformation\Jnt\null\..\.. /g everyone:f /e /t' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cacls n:\sefera\Jnt\null\..\.. /r user /e /t' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c attrib D:\sefera\Jnt\rirouakok +r +s +h' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c rd "D:\System_VoIume_lnformation\Jnt\roposemo" /s /q' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\explorer.exe' <Полный путь к файлу>\..
- '<SYSTEM32>\cmd.exe' /c cacls D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /d user /e
- '<SYSTEM32>\cacls.exe' D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /d user /e
- '<SYSTEM32>\cmd.exe' /c taskkill /im svcnost.exe /im svcnosts.exe /f
- '<SYSTEM32>\cmd.exe' /c cacls D:\sefera\Jnt\rirouakok\..\.. /g everyone:f /e /t
- '<SYSTEM32>\cacls.exe' D:\sefera\Jnt\rirouakok\..\.. /g everyone:f /e /t
- '<SYSTEM32>\cmd.exe' /c cacls D:\sefera\Jnt\rirouakok\..\.. /r administrators /e /t
- '<SYSTEM32>\cacls.exe' D:\sefera\Jnt\rirouakok\..\.. /r administrators /e /t
- '<SYSTEM32>\cmd.exe' /c cacls D:\sefera\Jnt\rirouakok\..\.. /r user /e /t
- '<SYSTEM32>\cacls.exe' D:\sefera\Jnt\rirouakok\..\.. /r user /e /t
- '<SYSTEM32>\cmd.exe' /c cacls D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /g everyone:f /e /t
- '<SYSTEM32>\cacls.exe' D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /g everyone:f /e /t
- '<SYSTEM32>\cmd.exe' /c cacls D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /d everyone /e
- '<SYSTEM32>\cacls.exe' D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /d everyone /e
- '<SYSTEM32>\cmd.exe' /c cacls D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /r administrators /e /t
- '<SYSTEM32>\cacls.exe' D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /r user /e /t
- '<SYSTEM32>\cmd.exe' /c cacls "D:\sefera\Jnt\rirouakok" /g everyone:f /t /c /e
- '<SYSTEM32>\cacls.exe' "D:\sefera\Jnt\rirouakok" /g everyone:f /t /c /e
- '<SYSTEM32>\cmd.exe' /c attrib "D:\sefera\Jnt\rirouakok*" -h -s -r /d
- '<SYSTEM32>\attrib.exe' "D:\sefera\Jnt\rirouakok*" -h -s -r /d
- '<SYSTEM32>\cmd.exe' /c del "D:\sefera\Jnt\rirouakok" /f /s /q
- '<SYSTEM32>\cmd.exe' /c rd "D:\sefera\Jnt\rirouakok" /s /q
- '<SYSTEM32>\cmd.exe' /c cacls "D:\System_VoIume_lnformation\Jnt\roposemo" /g everyone:f /t /c /e
- '<SYSTEM32>\cacls.exe' "D:\System_VoIume_lnformation\Jnt\roposemo" /g everyone:f /t /c /e
- '<SYSTEM32>\cmd.exe' /c attrib "D:\System_VoIume_lnformation\Jnt\roposemo*" -h -s -r /d
- '<SYSTEM32>\attrib.exe' "D:\System_VoIume_lnformation\Jnt\roposemo*" -h -s -r /d
- '<SYSTEM32>\cacls.exe' D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /r administrators /e /t
- '<SYSTEM32>\cmd.exe' /c cacls D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /r user /e /t
- '<SYSTEM32>\cacls.exe' D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /d administrators /e
- '<SYSTEM32>\cmd.exe' /c cacls D:\System_VoIume_lnformation\Jnt\roposemo\..\.. /d administrators /e
- '<SYSTEM32>\cacls.exe' D:\sefera\Jnt\rirouakok\..\.. /d user /e
- '<SYSTEM32>\cacls.exe' n:\sefera\Jnt\null\..\.. /g everyone:f /e /t
- '<SYSTEM32>\cmd.exe' /c cacls n:\sefera\Jnt\null\..\.. /r administrators /e /t
- '<SYSTEM32>\cacls.exe' n:\sefera\Jnt\null\..\.. /r administrators /e /t
- '<SYSTEM32>\cmd.exe' /c cacls n:\sefera\Jnt\null\..\.. /r user /e /t
- '<SYSTEM32>\cacls.exe' n:\sefera\Jnt\null\..\.. /r user /e /t
- '<SYSTEM32>\cmd.exe' /c cacls n:\System_VoIume_lnformation\Jnt\null\..\.. /g everyone:f /e /t
- '<SYSTEM32>\cacls.exe' n:\System_VoIume_lnformation\Jnt\null\..\.. /g everyone:f /e /t
- '<SYSTEM32>\cmd.exe' /c cacls n:\System_VoIume_lnformation\Jnt\null\..\.. /r administrators /e /t
- '<SYSTEM32>\cacls.exe' n:\System_VoIume_lnformation\Jnt\null\..\.. /r administrators /e /t
- '<SYSTEM32>\cmd.exe' /c cacls n:\System_VoIume_lnformation\Jnt\null\..\.. /r user /e /t
- '<SYSTEM32>\cacls.exe' n:\System_VoIume_lnformation\Jnt\null\..\.. /r user /e /t
- '<SYSTEM32>\cmd.exe' /c attrib D:\sefera\Jnt\rirouakok\..\.. +r +s +h
- '<SYSTEM32>\cmd.exe' /c cacls n:\sefera\Jnt\null\..\.. /g everyone:f /e /t
- '<SYSTEM32>\attrib.exe' D:\sefera\Jnt\rirouakok\..\.. +r +s +h
- '<SYSTEM32>\attrib.exe' D:\sefera\Jnt\rirouakok\..\..\desktop.ini +s +h
- '<SYSTEM32>\cmd.exe' /c attrib D:\sefera\Jnt\rirouakok +r +s +h
- '<SYSTEM32>\attrib.exe' D:\sefera\Jnt\rirouakok +r +s +h
- '<SYSTEM32>\cmd.exe' /c attrib D:\sefera\Jnt\rirouakok\desktop.ini +s +h
- '<SYSTEM32>\attrib.exe' D:\sefera\Jnt\rirouakok\desktop.ini +s +h
- '<SYSTEM32>\cmd.exe' /c attrib D:\System_VoIume_lnformation\Jnt\roposemo\..\.. +r +s +h
- '<SYSTEM32>\attrib.exe' D:\System_VoIume_lnformation\Jnt\roposemo\..\.. +r +s +h
- '<SYSTEM32>\cmd.exe' /c cacls D:\sefera\Jnt\rirouakok\..\.. /d administrators /e
- '<SYSTEM32>\cacls.exe' D:\sefera\Jnt\rirouakok\..\.. /d administrators /e
- '<SYSTEM32>\cmd.exe' /c cacls D:\sefera\Jnt\rirouakok\..\.. /d everyone /e
- '<SYSTEM32>\cacls.exe' D:\sefera\Jnt\rirouakok\..\.. /d everyone /e
- '<SYSTEM32>\cmd.exe' /c cacls D:\sefera\Jnt\rirouakok\..\.. /d user /e
- '<SYSTEM32>\cmd.exe' /c attrib D:\sefera\Jnt\rirouakok\..\..\desktop.ini +s +h
- '<SYSTEM32>\cmd.exe' /c del "D:\System_VoIume_lnformation\Jnt\roposemo" /f /s /q
- '<SYSTEM32>\cmd.exe' /c rd "D:\System_VoIume_lnformation\Jnt\roposemo" /s /q
