Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\nvngxupdatecheckdaily_{aefe271c-271c-271c-271c-aefe271c271c}
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\5c1b.tmp
- %APPDATA%\rarrsfu
- %APPDATA%\vrwtcww
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\rarrsfu
- %APPDATA%\vrwtcww
Самоудаляется.
Сетевая активность
TCP
- 'je##e.host':443
UDP
- DNS ASK je##e.host
- DNS ASK be#.########.#1D6AFF7.AAB5D0EB.oonz.riguard.tech
- DNS ASK cr#.########.#1D6AFF7.AAB5D0EB.oonz.riguard.tech
- DNS ASK wm#.########.#1D6AFF7.AAB5D0EB.oonz.riguard.tech
- DNS ASK wm###.########.01D6AFF7.AAB5D0EB.oonz.riguard.tech
- DNS ASK cm#.########.#1D6AFF7.AAB5D0EB.oonz.riguard.tech
- DNS ASK cm###.########.01D6AFF7.AAB5D0EB.oonz.riguard.tech
- DNS ASK microsoft.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /format:csv
- '<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\SecurityCenter2 Path FirewallProduct Get displayName /format:csv
- '<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\SecurityCenter2 Path AntiSpywareProduct Get displayName /format:csv
- '<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\cimv2 Path Win32_Processor Get Name,DeviceID,NumberOfCores /format:csv
- '<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\cimv2 Path Win32_Product Get Name,Version /format:csv
