Техническая информация
Вредоносные функции
Загружает
- https://www.nchsoftware.com/photoeditor/ppadsetup.exe?v=lt&filename=ppadsetup.exe как ppadsetup.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1d4.tmp\b2e.exe
- %TEMP%\4ff.tmp\batfile.bat
Удаляет следующие файлы
- %TEMP%\4ff.tmp\batfile.bat
- %TEMP%\1d4.tmp\b2e.exe
Сетевая активность
Подключается к
- 'nc###ftware.com':443
TCP
Другие
- 'nc###ftware.com':443
UDP
- DNS ASK nc###ftware.com
Другое
Создает и запускает на исполнение
- '%TEMP%\1d4.tmp\b2e.exe' %TEMP%\1D4.tmp\b2e.exe <Текущая директория> "<Полный путь к файлу>"
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\4FF.tmp\batfile.bat" " (со скрытым окном)
- '%WINDIR%\syswow64\reg.exe' query "HKU\S-1-5-19\Environment"
- '%WINDIR%\syswow64\reg.exe' add "HKCU\Software\NCH Software\PhotoPad\Registration" /v "ID" /t REG_SZ /d "133701337" /f
- '%WINDIR%\syswow64\reg.exe' add "HKCU\Software\NCH Software\PhotoPad\Registration" /v "Key" /t REG_SZ /d "difgedvt" /f
- '%WINDIR%\syswow64\reg.exe' add "HKCU\Software\NCH Software\PhotoPad\Registration" /v "Name" /t REG_SZ /d "Mr Professor" /f
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\selfdel0.bat" " (со скрытым окном)
