Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updates\uaysfu
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %APPDATA%\uaysfu.exe
- %TEMP%\tmp310e.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\uaysfu.exe
Удаляет следующие файлы
- %TEMP%\tmp310e.tmp
Сетевая активность
Подключается к
- 'me######eatness.hopto.org':80
TCP
Запросы HTTP GET
- http://me######eatness.hopto.org/new.exe
UDP
- DNS ASK me######eatness.hopto.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%APPDATA%\uAySfU.exe"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%APPDATA%\uAySfU.exe"' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /Create /TN "Updates\uAySfU" /XML "%TEMP%\tmp310E.tmp"' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '<SYSTEM32>\schtasks.exe' /Create /TN "Updates\uAySfU" /XML "%TEMP%\tmp310E.tmp"
- '%WINDIR%\microsoft.net\framework\v2.0.50727\dw20.exe' -x -s 920
