Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- permanentblge.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\grnsers\antispeculation232\skirrets.tvr
- %APPDATA%\grnsers\antispeculation232\lilium80.det
- %APPDATA%\grnsers\antispeculation232\ministerstorme199.til
- %APPDATA%\grnsers\antispeculation232\forcipes.txt
- %APPDATA%\grnsers\antispeculation232\skulpturelt.reg
- %APPDATA%\grnsers\antispeculation232\tidsbesparelses.new
- %TEMP%\permanentblge.exe
Сетевая активность
Подключается к
- '10#.#7.162.225':80
TCP
Запросы HTTP GET
- http://10#.#7.162.225/NmMcIzzLkqPGm205.bin
Другое
Создает и запускает на исполнение
- '%TEMP%\permanentblge.exe'
- '%TEMP%\permanentblge.exe' /stext "%TEMP%\khbeqzvhwhgly"
- '%TEMP%\permanentblge.exe' /stext "%TEMP%\vjgwikgispyqjlsi"
- '%TEMP%\permanentblge.exe' /stext "%TEMP%\fdlpjczcgxqclromdqr"
- '%TEMP%\permanentblge.exe' /stext "%TEMP%\cmmrobwphcm"
- '%TEMP%\permanentblge.exe' /stext "%TEMP%\mosjhuhjvkefkm"
- '%TEMP%\permanentblge.exe' /stext "%TEMP%\xjxcimrkjswsusrmoi"
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -windowstyle hidden "$Pagedom233=Get-Content '%APPDATA%\grnsers\Antispeculation232\Lilium80.Det';$poritoid=$Pagedom233.SubString(54294,3);.$poritoid($Pagedom233)"
