Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Startname' = '%ProgramFiles(x86)%\New Order.exe'
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /F /IM <Полный путь к файлу>
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\vbc.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\new order.exe
- %TEMP%\mgutn.bat
- %ProgramFiles(x86)%\new order.exe
Самоудаляется.
Сетевая активность
UDP
- DNS ASK cl####ten.no-ip.biz
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\new order.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\MGUtN.bat" "' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Startname" /t REG_SZ /d "%ProgramFiles(x86)%\New Order.exe" /f' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\MGUtN.bat" "
- '%WINDIR%\microsoft.net\framework\v2.0.50727\vbc.exe'
- '%WINDIR%\syswow64\cmd.exe' /C REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Startname" /t REG_SZ /d "%ProgramFiles(x86)%\New Order.exe" /f
- '%WINDIR%\syswow64\reg.exe' ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Startname" /t REG_SZ /d "%ProgramFiles(x86)%\New Order.exe" /f
