Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'SpaceX' = '"%ProgramFiles(x86)%\SpaceX\SpaceXL"'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\spacexl.lnk
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsida77.tmp\nsisfirewall.dll
- C:\users\public\msi.exe
- C:\users\public\auth.ps1
- %TEMP%\nsne4f2.tmp\nsisfirewall.dll
- %ProgramFiles(x86)%\spacex\spacexl.exe
- %ProgramFiles(x86)%\spacex\ssleay32.dll
- %ProgramFiles(x86)%\spacex\libeay32.dll
- %TEMP%\nsne4f2.tmp\registry.dll
- %TEMP%\nsne4f2.tmp\system.dll
- %TEMP%\id.txt
- %TEMP%\nsne4f2.tmp\nsexec.dll
- nul
- %TEMP%\nsne4f2.tmp\inetc.dll
Удаляет следующие файлы
- %TEMP%\nsida77.tmp\nsisfirewall.dll
- %TEMP%\nsne4f2.tmp\inetc.dll
- %TEMP%\nsne4f2.tmp\nsexec.dll
- %TEMP%\nsne4f2.tmp\nsisfirewall.dll
- %TEMP%\nsne4f2.tmp\registry.dll
- %TEMP%\nsne4f2.tmp\system.dll
Сетевая активность
Подключается к
- 'sm##.mail.ru':25
- 'id.####teutilities.com':5655
TCP
- 'sm##.mail.ru':25
- 'id.####teutilities.com':5655
- 'fi###.#00webhost.com':21
UDP
- DNS ASK sm##.mail.ru
- DNS ASK id.####teutilities.com
- DNS ASK fi###.#00webhost.com
Другое
Создает и запускает на исполнение
- 'C:\users\public\msi.exe'
- '%ProgramFiles(x86)%\spacex\spacexl.exe'
- '%ProgramFiles(x86)%\spacex\spacexl.exe' -second
- '%WINDIR%\syswow64\cmd.exe' /c certutil -f -decodehex %TEMP%\ID.txt %TEMP%\ID.txt>nul' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c certutil -f -decodehex %TEMP%\ID.txt %TEMP%\ID.txt>nul
- '%WINDIR%\syswow64\certutil.exe' -f -decodehex %TEMP%\ID.txt %TEMP%\ID.txt
