Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\asupen.exe
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- setup_~1.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\setup_~1.exe
Удаляет следующие файлы
- %TEMP%\ixp000.tmp\setup_~1.exe
Сетевая активность
Подключается к
- 'smtp.yandex.ru':587
TCP
Другие
- 'smtp.yandex.ru':587
UDP
- DNS ASK smtp.yandex.ru
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\setup_~1.exe'
- '%APPDATA%\microsoft\windows\start menu\programs\startup\asupen.exe'
- '%TEMP%\ixp000.tmp\setup_~1.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAAMwA0AA==' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C choice /C Y /N /D Y /T 3 & Del "%TEMP%\IXP000.TMP\SETUP_~1.EXE" && /C choice /C Y /N /D Y /T 3 & Del "shfolder.dll" && Del LAG1 && Del LAG2' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAAMwA0AA==
- '%WINDIR%\syswow64\cmd.exe' /C choice /C Y /N /D Y /T 3 & Del "%TEMP%\IXP000.TMP\SETUP_~1.EXE" && /C choice /C Y /N /D Y /T 3 & Del "shfolder.dll" && Del LAG1 && Del LAG2
- '%WINDIR%\syswow64\choice.exe' /C Y /N /D Y /T 3
