Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updates\kwpvgfffbbioal
- <SYSTEM32>\tasks\mscvin
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- mscvin.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\kwpvgfffbbioal.exe
- %TEMP%\tmp732c.tmp
- %APPDATA%\mscvin.exe
- %TEMP%\tmp93a7.tmp.bat
- nul
- %TEMP%\tmp2dd3.tmp
Удаляет следующие файлы
- %TEMP%\tmp732c.tmp
- %TEMP%\tmp2dd3.tmp
Сетевая активность
Подключается к
- '51.##0.15.13':1604
Другое
Создает и запускает на исполнение
- '%APPDATA%\mscvin.exe'
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\KWpVgFffbBiOAL" /XML "%TEMP%\tmp732C.tmp"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn "mscvin" /tr '"%APPDATA%\mscvin.exe"' & exit' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\KWpVgFffbBiOAL" /XML "%TEMP%\tmp2DD3.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\KWpVgFffbBiOAL" /XML "%TEMP%\tmp732C.tmp"
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn "mscvin" /tr '"%APPDATA%\mscvin.exe"' & exit
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\tmp93A7.tmp.bat""
- '%WINDIR%\syswow64\schtasks.exe' /create /f /sc onlogon /rl highest /tn "mscvin" /tr '"%APPDATA%\mscvin.exe"'
- '%WINDIR%\syswow64\timeout.exe' 3
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\KWpVgFffbBiOAL" /XML "%TEMP%\tmp2DD3.tmp"
