Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\nvngxupdatecheckdaily_{aefe271c-271c-271c-271c-aefe271c271c}
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\5c1b.tmp
- %APPDATA%\ctbsrst
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\ctbsrst
Удаляет следующие файлы
- %TEMP%\5c1b.tmp
Подменяет следующие файлы
- %TEMP%\5c1b.tmp
Самоудаляется.
Сетевая активность
Подключается к
- 'tr###o.online':443
TCP
Другие
- 'tr###o.online':443
UDP
- DNS ASK ol##us.casa
- DNS ASK tr###o.online
Другое
Создает и запускает на исполнение
- '%APPDATA%\ctbsrst'
Запускает на исполнение
- '<SYSTEM32>\taskeng.exe' {76E9D6B8-254E-433F-9B4E-00925D53850A} S-1-5-21-3150914307-1777937420-491476919-1000:ivwzdmopk\user:Interactive:[1]
- '%APPDATA%\ctbsrst' (со скрытым окном)
