Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\hugo
- %TEMP%\magnitude
- %TEMP%\pastor
- %TEMP%\rock
- %TEMP%\consulting
- %TEMP%\gifts
- %TEMP%\ordinary
- %TEMP%\gap
- %TEMP%\corrected
- %TEMP%\prefers
- %TEMP%\effective
- %TEMP%\313679\sheer.pif
- %TEMP%\313679\g
- %TEMP%\313679\regasm.exe
Удаляет следующие файлы
- %TEMP%\313679\g
Перемещает следующие файлы
- %TEMP%\gifts в %TEMP%\gifts.cmd
Сетевая активность
UDP
- DNS ASK Un##############PKQeMnlxcLlXn.UnSRkpWuLCEDkYUaPKQeMnlxcLlXn
Другое
Создает и запускает на исполнение
- '%TEMP%\313679\sheer.pif' g
- '%TEMP%\313679\regasm.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /k move Gifts Gifts.cmd & Gifts.cmd & exit (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "wrsa.exe opssvc.exe"
- '%WINDIR%\syswow64\findstr.exe' /I "avastui.exe avgui.exe bdservicehost.exe ekrn.exe nswscsvc.exe sophoshealth.exe"
- '%WINDIR%\syswow64\cmd.exe' /c md 313679
- '%WINDIR%\syswow64\findstr.exe' /V "uploadedvolumesburnenglish" Pastor
- '%WINDIR%\syswow64\cmd.exe' /c copy /b ..\Consulting + ..\Gap + ..\Hugo + ..\Ordinary + ..\Corrected + ..\Effective + ..\Rock + ..\Magnitude g
- '%WINDIR%\syswow64\choice.exe' /d y /t 5
