Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'marcbureau' = '%TEMP%\Marc_beverly\marc-plenty.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'marcbureau' = '%TEMP%\Marc_beverly\marc-plenty.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\attrib.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1572a05c.bat
- %TEMP%\marc_beverly\marc-plenty.exe
- %TEMP%\~7ac90674.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\marc_beverly\marc-plenty.exe
Самоудаляется.
Сетевая активность
UDP
- DNS ASK au#####eorganize.com
- DNS ASK av####e-confirm.com
- DNS ASK av####e-finance.com
- DNS ASK av####e-priest.com
- DNS ASK aw####ay-body.com
- DNS ASK ay###duck.net
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\attrib.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\1572A05C.bat "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\attrib.exe'
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\1572A05C.bat "<Полный путь к файлу>"
- '%WINDIR%\syswow64\attrib.exe' -r -s -h "<Полный путь к файлу>"
