Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\notess
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\notes\notes.exe
- %TEMP%\c4f9b092ebe84a3cbd2e64959ded5340.xml
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://www.he#####rodelamor.club/qef6/?2d##########################################################################################
- http://www.na####roovers.com/qef6/?2d##########################################################################################
- http://www.li####happies.net/qef6/?2d##########################################################################################
UDP
- DNS ASK ma###assett.com
- DNS ASK he#####rodelamor.club
- DNS ASK na####roovers.com
- DNS ASK li####happies.net
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /Create /TN notess /XML "%TEMP%\c4f9b092ebe84a3cbd2e64959ded5340.xml"
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN notess /XML "%TEMP%\c4f9b092ebe84a3cbd2e64959ded5340.xml"
- '%WINDIR%\syswow64\explorer.exe'
- '%WINDIR%\syswow64\cmd.exe' del "<Полный путь к файлу>"
