Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\nseu.exe
Вредоносные функции
Изменяет следующие настройки браузера Windows Internet Explorer
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyOverride' = 'javaUtility.eproc.publicprocurement.govmu.org;'
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\.jnlp\certificate
- %HOMEPATH%\jnlp_logs\2022-10-22.log
- %TEMP%\imageio92638194169207657.tmp
- %TEMP%\imageio6897763307332196647.tmp
- %TEMP%\jshortcut-3746038591110367834.dll
- %HOMEPATH%\desktop\nseu.lnk
- %HOMEPATH%\bkphosts
Удаляет следующие файлы
- %TEMP%\imageio92638194169207657.tmp
- %TEMP%\imageio6897763307332196647.tmp
- %APPDATA%\microsoft\windows\start menu\programs\startup\nseu.exe
Подменяет следующие файлы
- %APPDATA%\Mozilla\Firefox\Profiles\gn7ryp3k.default\user.js
Изменяет файл HOSTS.
Другое
Запускает на исполнение
- '%ProgramFiles%\java\jre1.8.0_45\bin\javaw.exe' -jar "<Полный путь к файлу>" MOFED.jks g+YjhQHgHrA5ywFfiJ3Tow== HmPPTK2MBmMh3UeMeWqTtg== eproc.publicprocurement.govmu.org
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%ProgramFiles%\java\jre1.8.0_45\...
- '<SYSTEM32>\tasklist.exe'
