Техническая информация
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'Regmonclass', WindowName: ''
- ClassName: 'Filemonclass', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\nsudo.exe
- <SYSTEM32>\nsudoc.exe
- %ALLUSERSPROFILE%\node
- %ALLUSERSPROFILE%\node.dll
- %ALLUSERSPROFILE%\easy remove - autodeskïµáðèГ¼þð¶ôø¹¤¾ß 3.3.0.9.exe
- %TEMP%\7-zip32.dll
Сетевая активность
Подключается к
- 'ba##u.com':443
- 'xz.#jtx.cn':443
TCP
Другие
- 'ba##u.com':443
- 'xz.#jtx.cn':443
UDP
- DNS ASK xz.#jtx.cn
- DNS ASK ba##u.com
Другое
Ищет следующие окна
- ClassName: '4823-00000029' WindowName: ''
- ClassName: '18467-41' WindowName: ''
- ClassName: 'Easyremove3.3.0.9' WindowName: 'Easy remove 3.3.0.9'
Создает и запускает на исполнение
- '<SYSTEM32>\nsudo.exe' -U:S -P:E "%ALLUSERSPROFILE%\Easy remove - AutodeskϵÁÐÈГ¼þжÔГ¹¤¾ß 3.3.0.9.exe"
- '%ALLUSERSPROFILE%\easy remove - autodeskïµáðèГ¼þð¶ôø¹¤¾ß 3.3.0.9.exe'
- '<SYSTEM32>\cmd.exe' /c NSudo -U:S -P:E "%ALLUSERSPROFILE%\Easy remove - AutodeskϵÁÐÈГ¼þжÔГ¹¤¾ß 3.3.0.9.exe"' (со скрытым окном)
- '%ALLUSERSPROFILE%\easy remove - autodeskïµáðèГ¼þð¶ôø¹¤¾ß 3.3.0.9.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c NSudo -U:S -P:E "%ALLUSERSPROFILE%\Easy remove - AutodeskϵÁÐÈГ¼þжÔГ¹¤¾ß 3.3.0.9.exe"
