Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\nseu.exe
Вредоносные функции
Изменяет следующие настройки браузера Windows Internet Explorer
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyOverride' = 'javaUtility.eproc.publicprocurement.govmu.org;'
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\.jnlp\certificate
- %HOMEPATH%\jnlp_logs\2022-12-02.log
- %TEMP%\imageio4483348590082266213.tmp
- %TEMP%\imageio7351167584033286101.tmp
- %TEMP%\jshortcut-1727220012632405457.dll
- %HOMEPATH%\desktop\nseu.lnk
- %HOMEPATH%\bkphosts
Удаляет следующие файлы
- %TEMP%\imageio4483348590082266213.tmp
- %TEMP%\imageio7351167584033286101.tmp
- %APPDATA%\microsoft\windows\start menu\programs\startup\nseu.exe
Подменяет следующие файлы
- %APPDATA%\Mozilla\Firefox\Profiles\gn7ryp3k.default\user.js
Изменяет файл HOSTS.
Другое
Запускает на исполнение
- '%ProgramFiles%\java\jre1.8.0_45\bin\javaw.exe' -Xms128m -Xmx1500m -jar "<Полный путь к файлу>" MOFED.jks C1SIbXdA6uIFgXrcnEPDwA== VC1Hsd+PuJhm7/5cOvR4xA== eproc.publicprocurement.govmu.org
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%ProgramFiles%\java\jre1.8.0_45\...
- '<SYSTEM32>\tasklist.exe'
