Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /F /PID 3024
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\nsudolc.exe
- <Текущая директория>\temp.bat
- C:\$recycle.bin\s-1-5-18\desktop.ini
- D:\$recycle.bin\s-1-5-18\desktop.ini
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
- <Текущая директория>\temp.bat
- <Текущая директория>\nsudolc.exe
Удаляет следующие файлы
- <Текущая директория>\temp.bat
- <Текущая директория>\nsudolc.exe
Сетевая активность
Подключается к
- 'ss#.##login2.qq.com':443
TCP
Другие
- 'ss#.##login2.qq.com':443
UDP
- DNS ASK ss#.##login2.qq.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\nsudolc.exe' /U:S /P:E <Полный путь к файлу>
- '%WINDIR%\syswow64\cmd.exe' /c <Текущая директория>\temp.bat' (со скрытым окном)
- '<Полный путь к файлу>' ' (со скрытым окном)
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c <Текущая директория>\temp.bat
