Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\vbc.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ndzwrcyu.0.cs
- %TEMP%\ndzwrcyu.cmdline
- %TEMP%\ndzwrcyu.out
- %TEMP%\cscee7d.tmp
- %TEMP%\resee7e.tmp
- %TEMP%\ndzwrcyu.dll
- C:\.exe
- <Текущая директория>\dns.bat
Удаляет следующие файлы
- %TEMP%\resee7e.tmp
- %TEMP%\cscee7d.tmp
- %TEMP%\ndzwrcyu.dll
- %TEMP%\ndzwrcyu.cmdline
- %TEMP%\ndzwrcyu.0.cs
- %TEMP%\ndzwrcyu.out
- <Текущая директория>\dns.bat
Изменяет файл HOSTS.
Самоперемещается
- из <Полный путь к файлу> в %APPDATA%\<Имя файла>.exe
Другое
Создает и запускает на исполнение
- 'C:\.exe'
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\ndzwrcyu.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESEE7E.tmp" "%TEMP%\CSCEE7D.tmp"' (со скрытым окном)
- 'C:\.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""<Текущая директория>\DNS.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\ndzwrcyu.cmdline"
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESEE7E.tmp" "%TEMP%\CSCEE7D.tmp"
- '%WINDIR%\microsoft.net\framework\v2.0.50727\vbc.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""<Текущая директория>\DNS.bat" "
- '%WINDIR%\syswow64\ipconfig.exe' /flushdnsipconfig/releaseipconfig/renew
