Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\36d1130a-36d1-130a-36d1-36d1130a36d0
Вредоносные функции
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -NonI -W Hidden -Exec Bypass Add-MpPreference -ExclusionPath "C:"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -NonI -W Hidden -Exec Bypass Add-MpPreference -ExclusionPath "%LOCALAPPDATA%"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dynwrapx.dll
- %TEMP%\csc5714.tmp
- %TEMP%\o76t-e_1.out
- %TEMP%\o76t-e_1.cmdline
- %TEMP%\o76t-e_1.0.cs
- %TEMP%\a660472
- %LOCALAPPDATA%\dynwrapx.dll
- %TEMP%\63f8a935
- %TEMP%\2959f1c8
- %LOCALAPPDATA%\36d1130a0.js
- %TEMP%\htp10gy1.w3m
- %TEMP%\sh4lyp0r.vb4
- %TEMP%\4fz0bxow.paf
- %TEMP%\bgcsakg5.n33
- %TEMP%\rymy2gbh.h33
- %TEMP%\vlpdpfm5.gbg
- %TEMP%\fg4bbcmz.dva
- %TEMP%\ttn4kou2.cfc
- %TEMP%\na0zy4ht.2nn
- %TEMP%\qg0rnkb5.1o2
- %TEMP%\429431198
- %TEMP%\1972720857
- %TEMP%\res5735.tmp
- %TEMP%\o76t-e_1.dll
Удаляет следующие файлы
- %TEMP%\2959f1c8
- %TEMP%\63f8a935
- %TEMP%\a660472
- %TEMP%\res5735.tmp
- %TEMP%\csc5714.tmp
- %TEMP%\o76t-e_1.cmdline
- %TEMP%\o76t-e_1.out
- %TEMP%\o76t-e_1.pdb
- %TEMP%\o76t-e_1.dll
- %TEMP%\o76t-e_1.0.cs
Перемещает следующие файлы
- %TEMP%\429431198 в %TEMP%\2959f1c8
- %TEMP%\1972720857 в %TEMP%\63f8a935
- %TEMP%\dynwrapx.dll в %TEMP%\a660472
Самоперемещается
- из <Полный путь к файлу> в <Текущая директория>\4d4f30c9
Самоудаляется.
Сетевая активность
Подключается к
- 'ec###447.cyou':443
- 'microsoft.com':80
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
Другие
- 'ec###447.cyou':443
UDP
- DNS ASK ec###447.cyou
- DNS ASK microsoft.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%LOCALAPPDATA%\36d1130a0.js" 61
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -NonI -W Hidden -Exec Bypass Add-MpPreference -ExclusionPath "%LOCALAPPDATA%"' (со скрытым окном)
- '%WINDIR%\syswow64\wscript.exe' "%LOCALAPPDATA%\36d1130a0.js" 61' (со скрытым окном)
- '%WINDIR%\syswow64\regsvr32.exe' /i /s "%LOCALAPPDATA%\dynwrapx.dll"' (со скрытым окном)
- '%WINDIR%\syswow64\vssadmin.exe' Delete Shadows /All /Quiet' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -NonI -W Hidden -Exec Bypass -enc QQBkAGQALQBUAHkAcABlACAALQBUAHkAcABlAEQAZQBmAGkAbgBpAHQAaQBvAG4AIABAACIADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtADsAdQBzAGkAbgBnACAATQBpAGMAcgBvAHMAbwBmAHQALg...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\o76t-e_1.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES5735.tmp" "%TEMP%\CSC5714.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c (start /MIN powershell.exe -NonI -W Hidden -Exec Bypass Add-MpPreference -ExclusionPath "C:") & (start /MIN wscript.exe /E:jscript 429431198 61 "<Полный путь к файлу>")
- '%WINDIR%\syswow64\wscript.exe' /E:jscript 429431198 61 "<Полный путь к файлу>"
- '%WINDIR%\syswow64\regsvr32.exe' /i /s "%LOCALAPPDATA%\dynwrapx.dll"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -NonI -W Hidden -Exec Bypass -enc QQBkAGQALQBUAHkAcABlACAALQBUAHkAcABlAEQAZQBmAGkAbgBpAHQAaQBvAG4AIABAACIADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtADsAdQBzAGkAbgBnACAATQBpAGMAcgBvAHMAbwBmAHQALg...
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\o76t-e_1.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES5735.tmp" "%TEMP%\CSC5714.tmp"
