Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Edge' = 'C:\upsys\win.vbs'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Chrome Internet' = 'C:\upsys\win1.vbs'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\google chrome32
Изменения в файловой системе
Создает следующие файлы
- C:\temp\dll.exe
- C:\temp\lgmobilesupporttool .exe
- C:\upsys\powin.bat
- C:\upsys\sys.bat
- C:\upsys\taskmgr64.exe
- C:\upsys\win.vbs
- C:\upsys\win1.vbs
- C:\upsys\curl.exe
- nul
Сетевая активность
TCP
Запросы HTTP GET
- http://cs##.#gmobile.com/
UDP
- DNS ASK cs##.#gmobile.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- 'C:\temp\dll.exe'
- 'C:\temp\lgmobilesupporttool .exe'
- '%WINDIR%\syswow64\wscript.exe' "C:\upsys\win.vbs"
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\upsys\sys.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\upsys\sys.bat" "
- '%WINDIR%\syswow64\reg.exe' add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v "Edge" /t REG_SZ /d "C:\upsys\win.vbs" /f
- '%WINDIR%\syswow64\reg.exe' add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v "Chrome Internet" /t REG_SZ /d "C:\upsys\win1.vbs" /f
- '%WINDIR%\syswow64\attrib.exe' +H C:\upsys
- '%WINDIR%\syswow64\schtasks.exe' /Create /f /sc hourly /mo 1 /tn "Google Chrome32" /tr C:\upsys\win.vbs
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 240 -w 5
