Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\wininit
- <SYSTEM32>\tasks\winlogon
- <SYSTEM32>\tasks\dwm
- <SYSTEM32>\tasks\lsass
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\build.vmp.sfx.exe
- %TEMP%\eset_internet_security_live_installer.exe
- %TEMP%\build.vmp.exe
- <SYSTEM32>\dsuiext\wininit.exe
- <SYSTEM32>\dsuiext\560854153607923c4c5f107085a7db67be01f252
- <SYSTEM32>\winrshost\winlogon.exe
- <SYSTEM32>\winrshost\cc11b995f2a76da408ea6a601e682e64743153ad
- <SYSTEM32>\odbcint\dwm.exe
- <SYSTEM32>\odbcint\6cb0b6c459d5d3455a3da700e713f2e2529862ff
- %WINDIR%\resources\0409\lsass.exe
- %WINDIR%\resources\0409\6203df4a6bafc7c328ee7f6f8ca0a8a838a8a1b9
Сетевая активность
Подключается к
- '21#.#09.196.79':80
- 'ip##fo.io':443
TCP
Запросы HTTP GET
- http://21#.#09.196.79/lowauthdefault.php?LY######################################################################################################################################################...
UDP
- DNS ASK ip##fo.io
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\build.vmp.sfx.exe'
- '%TEMP%\build.vmp.exe'
- '%WINDIR%\resources\0409\lsass.exe'
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /tn "wininit" /sc ONLOGON /tr "'<SYSTEM32>\dsuiext\wininit.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "winlogon" /sc ONLOGON /tr "'<SYSTEM32>\winrshost\winlogon.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "dwm" /sc ONLOGON /tr "'<SYSTEM32>\odbcint\dwm.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "lsass" /sc ONLOGON /tr "'%WINDIR%\Resources\0409\lsass.exe'" /rl HIGHEST /f
