Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\nvngxupdatecheckdaily_{aefe271c-271c-271c-271c-aefe271c271c}
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\5c1b.tmp
- %APPDATA%\rsgcusv
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\rsgcusv
Удаляет следующие файлы
- %TEMP%\5c1b.tmp
Подменяет следующие файлы
- %TEMP%\5c1b.tmp
Самоудаляется.
Сетевая активность
Подключается к
- 'tr###o.online':443
TCP
Другие
- 'tr###o.online':443
UDP
- DNS ASK ol##us.casa
- DNS ASK tr###o.online
Другое
Создает и запускает на исполнение
- '%APPDATA%\rsgcusv'
Запускает на исполнение
- '<SYSTEM32>\taskeng.exe' {3F77094C-B130-41AE-B6E9-145BC40748F2} S-1-5-21-3150914307-1777937420-491476919-1000:upxpkue\user:Interactive:[1]
- '%APPDATA%\rsgcusv' (со скрытым окном)
