Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\delaware
- %TEMP%\myself
- %TEMP%\preferred
- %TEMP%\boy
- %TEMP%\amendment
- %TEMP%\nearly
- %TEMP%\adopt
- %TEMP%\favorites
- %TEMP%\push
- %TEMP%\largest
- %TEMP%\answer
- %TEMP%\push.bat
- %TEMP%\571131\talent.pif
- %TEMP%\571131\d
- %TEMP%\571131\regasm.exe
Удаляет следующие файлы
- %TEMP%\571131\d
Сетевая активность
Подключается к
- '18#.#8.142.44':24171
UDP
- DNS ASK vy############rNzMQLGYUx.vyKmDpcWFGQexhrNzMQLGYUx
Другое
Создает и запускает на исполнение
- '%TEMP%\571131\talent.pif' d
- '%TEMP%\571131\regasm.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Push Push.bat & Push.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "wrsa opssvc"
- '%WINDIR%\syswow64\findstr.exe' -I "avastui avgui bdservicehost nswscsvc sophoshealth"
- '%WINDIR%\syswow64\cmd.exe' /c md 571131
- '%WINDIR%\syswow64\findstr.exe' /V "StayingReviewedBankruptcyDesk" Delaware
- '%WINDIR%\syswow64\cmd.exe' /c copy /b ..\Largest + ..\Preferred + ..\Answer + ..\Nearly + ..\Adopt + ..\Favorites + ..\Boy + ..\Myself d
- '%WINDIR%\syswow64\choice.exe' /d y /t 5
