Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\meojzseqw
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- 'C:\cosuv\wegerb\szvmhegn.exe'
- 'C:\cosuv\wegerb\szvmhegn.exe' /C
- 'C:\cosuv\wegerb\szvmhegn.exe' /I meojzseqw
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- C:\cosuv\wegerb\szvmhegn.exe
- %APPDATA%\microsoft\kypuzla\aalfu.dat
- %APPDATA%\microsoft\kypuzla\aalfu.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://sm###ygan.ir/crun20.gif
UDP
- DNS ASK sm###ygan.ir
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\kypuzla\aalfu.exe'
- '%APPDATA%\microsoft\kypuzla\aalfu.exe' /C
- 'C:\cosuv\wegerb\szvmhegn.exe' ' (со скрытым окном)
- 'C:\cosuv\wegerb\szvmhegn.exe' /C' (со скрытым окном)
- '%APPDATA%\microsoft\kypuzla\aalfu.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /RU "NT AUTHORITY\SYSTEM" /tn meojzseqw /tr "\"C:\COsuv\Wegerb\szvMhegn.exe\" /I meojzseqw" /SC ONCE /Z /ST 21:08 /ET 21:20' (со скрытым окном)
- '%APPDATA%\microsoft\kypuzla\aalfu.exe' /C' (со скрытым окном)
- 'C:\cosuv\wegerb\szvmhegn.exe' /I meojzseqw' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Create /RU "NT AUTHORITY\SYSTEM" /tn meojzseqw /tr "\"C:\COsuv\Wegerb\szvMhegn.exe\" /I meojzseqw" /SC ONCE /Z /ST 21:08 /ET 21:20
- '%WINDIR%\syswow64\explorer.exe'
