Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\start.bat
- <Текущая директория>\spswguk.vbe
Сетевая активность
UDP
- DNS ASK sn###############zesagainagainitfeelslikeiceisinmyhands.space
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "<Текущая директория>\SPswgUK.vbe"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' iex(Get-ItemProperty HKCU:\/Software\/RVMTBuFRxFe).RznjfaE' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""<Текущая директория>\start.bat" "
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' iex(Get-ItemProperty HKCU:\/Software\/RVMTBuFRxFe).RznjfaE
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe'
