Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- https://dliesel.com/aa.exe как %appdata%\aa.exe
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
- %WINDIR%\syswow64\msdt.exe
следующие пользовательские процессы:
- aa.exe
- iexplore.exe
- firefox.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\autoconv.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghghghghВЈ.sct
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
- %PROGRAMDATA%\hrjytrj.cmd
- %APPDATA%\aa.exe
Удаляет следующие файлы
- %APPDATA%\aa.exe
Сетевая активность
TCP
- 'dl##sel.com':443
UDP
- DNS ASK dl##sel.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\aa.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\msdt.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%APPDATA%\aa.exe"
