Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\nvngxupdatecheckdaily_{693d7eba-7eba-7eba-7eba-693d7eba7eba}
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1.bmp
- %TEMP%\6b79.tmp
- %APPDATA%\hwjrtva
- %APPDATA%\tsgtjaf
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\hwjrtva
- %APPDATA%\tsgtjaf
Удаляет следующие файлы
- %TEMP%\6b79.tmp
Подменяет следующие файлы
- %TEMP%\6b79.tmp
Самоудаляется.
Сетевая активность
UDP
- DNS ASK ki####itikboss.ru
- DNS ASK ho#####ervecinema.ru
Другое
Создает и запускает на исполнение
- '%APPDATA%\hwjrtva'
- '<SYSTEM32>\regsvr32.exe' /s /n /u /i:"%APPDATA%\tsgtjaf" scrobj' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\taskeng.exe' {700D0F85-B61C-4748-927E-342162F9C20C} S-1-5-21-1960123792-2022915161-3775307078-1001:tqpbmitz\user:Interactive:[1]
- '<SYSTEM32>\regsvr32.exe' /s /n /u /i:"%APPDATA%\tsgtjaf" scrobj
