Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\<Имя файла>.url
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\<Имя файла>.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://dl#.#oxi.net/drive/2020/07/02/0042/0126/2777214/14/e46a1a8014.txt
UDP
- DNS ASK dl#.#oxi.net
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' [System.Threading.Thread]::GetDomain().Load([Microsoft.Win32.Registry]::CurrentUser.OpenSubKey('Software\PioicA').GetValue('wsjdlr'));[oOqRRac]::zBXfwZHHBSTR('<Полный путь к файлу>', 'nofpF', '...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' [System.Threading.Thread]::GetDomain().Load([Microsoft.Win32.Registry]::CurrentUser.OpenSubKey('Software\PioicA').GetValue('wsjdlr'));[oOqRRac]::zBXfwZHHBSTR('<Полный путь к файлу>', 'nofpF', '...
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe'
