Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\main\file.bin
- %TEMP%\main\killduplicate.cmd
- %TEMP%\main\main.bat
- %TEMP%\main\7z.dll
- %TEMP%\main\7z.exe
- %TEMP%\main\extracted\file_3.zip
- %TEMP%\main\extracted\antiav.data
- %TEMP%\main\extracted\file_2.zip
- %TEMP%\main\extracted\file_1.zip
- %TEMP%\main\extracted\umtnyrsgbdf.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\main\killduplicate.cmd
- %TEMP%\main\umtnyrsgbdf.exe
Удаляет следующие файлы
- %TEMP%\main\extracted\file_1.zip
- %TEMP%\main\extracted\file_2.zip
- %TEMP%\main\extracted\file_3.zip
Перемещает следующие файлы
- %TEMP%\main\file.bin в %TEMP%\main\file.zip
- %TEMP%\main\extracted\umtnyrsgbdf.exe в %TEMP%\main\umtnyrsgbdf.exe
Подменяет следующие файлы
- %TEMP%\main\file.bin
Другое
Создает и запускает на исполнение
- '%TEMP%\main\7z.exe' e file.zip -p1740228441161927903242302605 -oextracted
- '%TEMP%\main\7z.exe' e extracted/file_3.zip -oextracted
- '%TEMP%\main\7z.exe' e extracted/file_2.zip -oextracted
- '%TEMP%\main\7z.exe' e extracted/file_1.zip -oextracted
- '%TEMP%\main\umtnyrsgbdf.exe'
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\main\main.bat" /S"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\main\main.bat" /S"
- '<SYSTEM32>\mode.com' 65,10
- '<SYSTEM32>\attrib.exe' +H "umtnyrsgbdf.exe"
