Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updates\egvqoj
- <SYSTEM32>\tasks\udp subsystem
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\pobersxhel.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\msbuild.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\msbuild.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\pobersxhel.exe
- %APPDATA%\egvqoj.exe
- %TEMP%\tmpf9d8.tmp
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\run.dat
- %TEMP%\tmp482.tmp
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\task.dat
Удаляет следующие файлы
- %TEMP%\tmpf9d8.tmp
- %TEMP%\tmp482.tmp
Сетевая активность
Подключается к
- 'hu####rman.ddns.net':1603
TCP
Запросы HTTP GET
- http://eu##x.ps/english/okl/pla.exe
UDP
- DNS ASK eu##x.ps
- DNS ASK hu####rman.ddns.net
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\EgvqoJ" /XML "%TEMP%\tmpF9D8.tmp"' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\EgvqoJ" /XML "%TEMP%\tmpF9D8.tmp"
- '%WINDIR%\microsoft.net\framework\v2.0.50727\msbuild.exe'
- '%WINDIR%\syswow64\schtasks.exe' /create /f /tn "UDP Subsystem" /xml "%TEMP%\tmp482.tmp"
