Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\8n8tx49hup
Вредоносные функции
Создает и запускает на исполнение
- '%APPDATA%\msbuild.exe'
Внедряет код в
следующие пользовательские процессы:
- msbuild.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\w23tu.vbs
- %APPDATA%\msbuild.exe
Сетевая активность
TCP
- 'ma#####nicolas.ddns.net':13
UDP
- DNS ASK ma#####nicolas.ddns.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\w23tu.vbs"
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 1 /tn 8n8tx49hup /tr %APPDATA%\w23tu.vbs' (со скрытым окном)
- '<SYSTEM32>\wscript.exe' "%APPDATA%\w23tu.vbs"' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 1 /tn 8n8tx49hup /tr %APPDATA%\w23tu.vbs
- '<SYSTEM32>\taskeng.exe' {B3C7D025-6AA4-4E56-BF60-9FAAC6FB2006} S-1-5-21-1960123792-2022915161-3775307078-1001:asgmbggzp\user:Interactive:[1]
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe'
