Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\ndhi.vbs
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\9087654356798654.exe'
Внедряет код в
следующие пользовательские процессы:
- tyrhd.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\9087654356798654.exe
- %APPDATA%\ndhi\tyrhd.exe
- %APPDATA%\ndhi\tyrhd.exe:zoneidentifier
Сетевая активность
TCP
Запросы HTTP GET
- http://bi#.ly/2HQ2RrC
- http://10#.#89.10.150/E8/telser.jpg
Запросы HTTP POST
- http://ts#####er.duckdns.org/index.php
- http://19#.#45.112.115/index.php
UDP
- DNS ASK bi#.ly
- DNS ASK ts#####er.duckdns.org
Другое
Создает и запускает на исполнение
- '%APPDATA%\ndhi\tyrhd.exe'
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
