Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\system.lnk
- <SYSTEM32>\tasks\8aefeaca4c3a7dc5ea85f248602b6122
Изменения в файловой системе
Создает следующие файлы
- C:\svcinto\pk3yabizwfyecocdgkry.exe
- C:\svcinto\sprqkemxido4vrs0ky92jsmwjeljzf.vbs
- C:\svcinto\xjw9z4ms5idqppht597mz9knr9fffu.bat
- C:\svcinto\dclib\al6cf54c5afe698333513f91b6a461a8fe412e5694.dclib
- C:\svcinto\dclib\antivm.dclib
- C:\svcinto\dclib\antiwindowsdefender.dclib
- C:\svcinto\dclib\as_c07f7472ed0469e66b90bea3f8afee0ab215080e.dclib
- C:\svcinto\dclib\rs2300f068121707def35df4f7b5d2bc8a016bd37f.dclib
- C:\svcinto\rxtlkcslvnfddxgtqiw5fl78amgrw5.bat
- C:\svcinto\vmcheck32.dll
- C:\svcinto\savescrt.exe
- C:\svcinto\system.vbe
- C:\svcinto\system.lnk
Сетевая активность
Подключается к
- '92.##.100.114':80
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "C:\svcinto\spRQKEmxIdO4Vrs0kY92JsMwjElJZF.vbs"
- 'C:\svcinto\pk3yabizwfyecocdgkry.exe' -p9e57b17387b21a2b9605834fd98187803bc73a8e
- '%WINDIR%\syswow64\wscript.exe' "C:\svcinto\System.vbe"
- 'C:\svcinto\savescrt.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\svcinto\xjW9Z4ms5iDqPPht597Mz9knr9fffU.bat" "' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\svcinto\RXtlKcSLvnFDdXGTqIw5FL78AMGRW5.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\svcinto\xjW9Z4ms5iDqPPht597Mz9knr9fffU.bat" "
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\svcinto\RXtlKcSLvnFDdXGTqIw5FL78AMGRW5.bat" "
