Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\zbecs.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\zbecs.exe
- %TEMP%\bpndjwf.exe
- %TEMP%\bpnd
- C:\users\public\fcc
- C:\users\public\yako.bat
- C:\users\public\natso.bat
- C:\users\public\sspicli.dll
- C:\users\public\perfmon.exe
- C:\users\public\runex.bat
- %WINDIR% \system32\perfmon.exe
- %WINDIR% \system32\sspicli.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://10#.#89.10.150/MB/netfliq.exe
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\bpndjwf.exe'
- '%TEMP%\zbecs.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\Users\Public\Natso.bat" "' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\Users\Public\Runex.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\Users\Public\Natso.bat" "
- '%WINDIR%\syswow64\reg.exe' delete hkcu\Environment /v windir /f
- '%WINDIR%\syswow64\reg.exe' add hkcu\Environment /v windir /d "cmd /c start /min C:\Users\Public\Yako.bat reg delete hkcu\Environment /v windir /f && REM "
- '%WINDIR%\syswow64\schtasks.exe' /Run /TN \Microsoft\Windows\DiskCleanup\SilentCleanup /I
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\Users\Public\Runex.bat" "
