Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\winsrc
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- winsrc.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\dllhost.exe
- %APPDATA%\extreme injector v3.exe
- <Текущая директория>\settings.xml
- %APPDATA%\winsrc.exe
- %TEMP%\tmpc87c.tmp.bat
- nul
Удаляет следующие файлы
- %APPDATA%\winsrc.exe
Подменяет следующие файлы
- %APPDATA%\winsrc.exe
Сетевая активность
Подключается к
- 'ra#.####ubusercontent.com':443
- 'ed#.#dspeck.org':5505
TCP
Другие
- 'ra#.####ubusercontent.com':443
UDP
- DNS ASK ra#.####ubusercontent.com
- DNS ASK ed#.#dspeck.org
Другое
Создает и запускает на исполнение
- '%APPDATA%\dllhost.exe'
- '%APPDATA%\extreme injector v3.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Remove-ItemProperty -Path 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' -Name '';New-ItemProperty -Path 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' -Name '' -Value '"%APPDATA%...
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn "winsrc" /tr '"%APPDATA%\winsrc.exe"' & exit' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn "winsrc" /tr '"%APPDATA%\winsrc.exe"' & exit
- '%WINDIR%\syswow64\schtasks.exe' /create /f /sc onlogon /rl highest /tn "winsrc" /tr '"%APPDATA%\winsrc.exe"'
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\tmpC87C.tmp.bat""
- '%WINDIR%\syswow64\timeout.exe' 3
