Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /F /IM LogMeOnceDrive.exe /T
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\~nsua.tmp\un_a.exe
- %TEMP%\nsr15c2.tmp\nsexec.dll
- %TEMP%\nsr15c2.tmp\nplogmeonce.msi
Сетевая активность
Подключается к
- 'oc##.#ectigo.com':80
- 'cr#.#ectigo.com':80
- 'oc##.#tartssl.com':80
TCP
Запросы HTTP GET
- http://oc##.#ectigo.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBSdE3gf41WAic8Uh9lF92%2BIJqh5qwQUMuuSmv81lkgvKEBCcCA2kVwXheYCEGIdbQxSAZ47kHkVIIkhHAo%3D
- http://oc##.#ectigo.com/MFAwTjBMMEowSDAJBgUrDgMCGgUABBQVD%2BnGf79Hpedv3mhy6uKMVZkPCQQUDyrLIIcouOxvSK4rVKYpqhekzQwCD1i%2BPV%2FRmgi7Lj1IH%2FjQpA%3D%3D
- http://cr#.#ectigo.com/SectigoPublicCodeSigningCAR36.crl
- http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
UDP
- DNS ASK oc##.#ectigo.com
- DNS ASK cr#.#ectigo.com
- DNS ASK public-trust.com
- DNS ASK oc##.#tartssl.com
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\~nsua.tmp\un_a.exe' _?=<Текущая директория>\
- '%WINDIR%\syswow64\taskkill.exe' /F /IM LogMeOnceDrive.exe /T' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\msiexec.exe' /x "%TEMP%\nsr15C2.tmp\nplogmeonce.msi" /passive
