Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\daily check
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\services.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\microsoft_tvmmwt\check.exe
- %ALLUSERSPROFILE%\microsoft_hkonzm\svchost.exe
- %ALLUSERSPROFILE%\microsoft_hkonzm\svchost.dll
- %ALLUSERSPROFILE%\microsoft_axadie\check.exe
- %ALLUSERSPROFILE%\microsoft_cdligh\svchost.exe
- %ALLUSERSPROFILE%\microsoft_cdligh\svchost.dll
- %ALLUSERSPROFILE%\microsoft_gbexaq\svchost.exe
- %ALLUSERSPROFILE%\microsoft_jmtgjn\check.exe
- %ALLUSERSPROFILE%\microsoft_gbexaq\svchost.dll
- %ALLUSERSPROFILE%\microsoft_bzircg\check.exe
- %ALLUSERSPROFILE%\microsoft_nocsxd\svchost.exe
- %ALLUSERSPROFILE%\microsoft_nocsxd\svchost.dll
Изменяет следующие файлы
- %APPDATA%\microsoft\windows\libraries\documents.library-ms
Сетевая активность
Подключается к
- '10#.#5.185.232':1145
- '10#.#5.185.232':5201
TCP
Другие
- '10#.#5.185.232':1145
- '10#.#5.185.232':5201
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\microsoft_tvmmwt\check.exe'
- '%ALLUSERSPROFILE%\microsoft_axadie\check.exe'
- '%ALLUSERSPROFILE%\microsoft_jmtgjn\check.exe'
- '%ALLUSERSPROFILE%\microsoft_bzircg\check.exe'
- '%ALLUSERSPROFILE%\microsoft_tvmmwt\check.exe' ' (со скрытым окном)
- '%ALLUSERSPROFILE%\microsoft_axadie\check.exe' ' (со скрытым окном)
- '%ALLUSERSPROFILE%\microsoft_jmtgjn\check.exe' ' (со скрытым окном)
- '%ALLUSERSPROFILE%\microsoft_bzircg\check.exe' ' (со скрытым окном)
