Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
- %WINDIR%\syswow64\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\d38870f2
- %TEMP%\vmgsgtfmchkhs
Сетевая активность
Подключается к
- 'ar###itis.org':443
- 'ga###node.io':80
TCP
Запросы HTTP POST
- http://ga###node.io/c2conf
- http://ga###node.io/c2sock
Другие
- 'ar###itis.org':443
UDP
- DNS ASK ar###itis.org
- DNS ASK ku###lowers.xyz
- DNS ASK ga###node.io
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c timeout /nobreak /t 3 & fsutil file setZeroData offset=0 length=2616319 "%WINDIR%\SysWOW64\explorer.exe" & erase "%WINDIR%\SysWOW64\explorer.exe" & exit' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\explorer.exe'
- '%WINDIR%\syswow64\cmd.exe' /c timeout /nobreak /t 3 & fsutil file setZeroData offset=0 length=2616319 "%WINDIR%\SysWOW64\explorer.exe" & erase "%WINDIR%\SysWOW64\explorer.exe" & exit
- '%WINDIR%\syswow64\timeout.exe' /nobreak /t 3
