Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM mspaint.exe
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\mspaint.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\u8t72f6nnpmzs1fuif0h0rc7ns062flxgsn.exe
- %TEMP%\uvn19x01cmvq.dll
Перемещает следующие файлы
- %TEMP%\uvn19x01cmvq.dll в %TEMP%\cydwzev60wzg
Самоперемещается
- из <Полный путь к файлу> в <Текущая директория>\mnpfqww2cslk0gkp7euy.exe
Сетевая активность
Подключается к
- 'sw###nzy.com':443
- 'pk#.goog':80
TCP
Запросы HTTP GET
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'sw###nzy.com':443
UDP
- DNS ASK sw###nzy.com
- DNS ASK pk#.goog
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\u8t72f6nnpmzs1fuif0h0rc7ns062flxgsn.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c taskkill /F /IM mspaint.exe
- '<SYSTEM32>\cmd.exe' /c START mspaint.exe
- '<SYSTEM32>\mspaint.exe'
