Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\nafifas
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\l-p7n2ee\l-plogri.ini
- %APPDATA%\l-p7n2ee\l-plogrv.ini
- %ALLUSERSPROFILE%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\policy.vpol
- %ALLUSERSPROFILE%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\3ccd5499-87a8-4b10-a215-608888dd3b55.vsch
- %ALLUSERSPROFILE%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\2f1a6504-0641-44cf-8bb5-3612d865f2e5.vsch
- %LOCALAPPDATA%\microsoft\vault\4bf4c442-9b8a-41a0-b380-dd4a704ddb28\policy.vpol
- %APPDATA%\l-p7n2ee\l-plogim.jpeg
- %APPDATA%\l-p7n2ee\l-plogrf.ini
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\mlso.exe
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c mkdir "%APPDATA%\skype"
- '%WINDIR%\syswow64\cmd.exe' /c copy "<Полный путь к файлу>" "%APPDATA%\skype\skype.exe"
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /sc minute /mo 1 /tn "Nafifas" /tr "'%APPDATA%\skype\skype.exe'" /f
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 1 /tn "Nafifas" /tr "'%APPDATA%\skype\skype.exe'" /f
- '%WINDIR%\syswow64\rundll32.exe'
- '%ProgramFiles(x86)%\mozilla firefox\firefox.exe'
- '<SYSTEM32>\taskeng.exe' {9E532FC6-4229-4A01-B130-C37145C063E2} S-1-5-21-1960123792-2022915161-3775307078-1001:srvemj\user:Interactive:[1]
