Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /f /im NSClient.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7zipsfx.000\nsclient.msi
- %TEMP%\7zipsfx.000\cleanup.bat
- %TEMP%\7zipsfx.000\prep.bat
- %TEMP%\7zipsfx.000\psexec.exe
- nul
Удаляет следующие файлы
- %TEMP%\7zipsfx.000\nsclient.msi
- %TEMP%\7zipsfx.000\prep.bat
- %TEMP%\7zipsfx.000\psexec.exe
Самоудаляется.
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\7zipsfx.000\psexec.exe' -accepteula -nobanner -u Matt -p demo msiexec.exe /I %TEMP%\7ZipSfx.000\NSClient.msi token=5rwd3hTk4k34yKXm0c4U host=addon-madams.goskope.com mode=peruserconfig /qr
- '%WINDIR%\syswow64\cmd.exe' /C %TEMP%\7ZipSfx.000\prep.bat' (со скрытым окном)
- '%TEMP%\7zipsfx.000\psexec.exe' -accepteula -nobanner -u Matt -p demo msiexec.exe /I %TEMP%\7ZipSfx.000\NSClient.msi token=5rwd3hTk4k34yKXm0c4U host=addon-madams.goskope.com mode=peruserconfig /qr' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C %TEMP%\7ZipSfx.000\cleanup.bat' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C %TEMP%\7ZipSfx.000\prep.bat
- '%WINDIR%\syswow64\icacls.exe' "%TEMP%\7ZipSfx.000\NSClient.msi" /grant Everyone:RX
- '%WINDIR%\syswow64\cmd.exe' /C %TEMP%\7ZipSfx.000\cleanup.bat
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "
