Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\vlc.exe
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\hffegycgo.exe'
Внедряет код в
следующие пользовательские процессы:
- hffegycgo.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\hffegycgo.exe
- %TEMP%\tmp.exe
- %TEMP%\.exe
- %APPDATA%\videolan\vlc.exe
- %TEMP%\tmp6b7e.tmp.bat
- nul
Сетевая активность
TCP
Запросы HTTP GET
- http://www.gl#####contructions.com/filo/ulti.exe
- http://ap#.#pify.org/
UDP
- DNS ASK gl#####contructions.com
- DNS ASK ap#.#pify.org
Другое
Создает и запускает на исполнение
- '%TEMP%\tmp.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath '%TEMP%\tmp.exe'
- '%APPDATA%\videolan\vlc.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath '%APPDATA%\VideoLAN\vlc.exe'
- '<SYSTEM32>\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn vlc.exe /tr '"%APPDATA%\VideoLAN\vlc.exe"' & exit' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn vlc.exe /tr '"%APPDATA%\VideoLAN\vlc.exe"' & exit
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp6B7E.tmp.bat""
- '<SYSTEM32>\schtasks.exe' /create /f /sc onlogon /rl highest /tn vlc.exe /tr '"%APPDATA%\VideoLAN\vlc.exe"'
- '<SYSTEM32>\timeout.exe' 3
