Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\nvngxupdatecheckdaily_{aefe271c-271c-271c-271c-aefe271c271c}
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\5c1b.tmp
- %APPDATA%\bwshvua
- %APPDATA%\tcsbgas
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\bwshvua
- %APPDATA%\tcsbgas
Удаляет следующие файлы
- %TEMP%\5c1b.tmp
Подменяет следующие файлы
- %TEMP%\5c1b.tmp
Самоудаляется.
Сетевая активность
Подключается к
- 'ol##us.casa':443
TCP
- 'ol##us.casa':443
UDP
- DNS ASK ol##us.casa
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\bwshvua'
- '%APPDATA%\bwshvua' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /format:csv
- '<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\SecurityCenter2 Path FirewallProduct Get displayName /format:csv
- '<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\SecurityCenter2 Path AntiSpywareProduct Get displayName /format:csv
- '<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\cimv2 Path Win32_Processor Get Name,DeviceID,NumberOfCores /format:csv
- '<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\cimv2 Path Win32_Product Get Name,Version /format:csv
- '<SYSTEM32>\taskeng.exe' {6E5EFEF1-62A7-49FA-A7C4-C51512A4A99D} S-1-5-21-1960123792-2022915161-3775307078-1001:sfpqctpcf\user:Interactive:[1]
