Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\plubwzt44.exe
- %APPDATA%\microsoft\windows\start menu\programs\sky\sky.exe
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\run.dat
Сетевая активность
Подключается к
- 'bm#.##mpbanten.id':80
- '23.##5.131.196':9070
- 'localhost':9070
TCP
Запросы HTTP GET
- http://bm#.##mpbanten.id/esc/Vhcjwgfoa_Mywmychi.png
UDP
- DNS ASK bm#.##mpbanten.id
Другое
Создает и запускает на исполнение
- '%TEMP%\plubwzt44.exe'
- '%WINDIR%\syswow64\cmd.exe' /c timeout 10' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c timeout 10
- '%WINDIR%\syswow64\timeout.exe' 10
- '%WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe'
