Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updates\cxdtiyc
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%APPDATA%\cxdTiYc.exe"
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework64\v4.0.30319\vbc.exe
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\cxdtiyc.exe
- %TEMP%\tmpb7ca.tmp
- %TEMP%\database
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\cxdtiyc.exe
Удаляет следующие файлы
- %TEMP%\tmpb7ca.tmp
Сетевая активность
Подключается к
- 'fi####grandefm.com':80
- '85.##9.133.9':1994
TCP
Запросы HTTP GET
- http://fi####grandefm.com/ss/PASSWORDRECOVERY64EXE.EXE
Запросы HTTP POST
- http://fi####grandefm.com/ss/upload.php
Другие
- '85.##9.133.9':1994
UDP
- DNS ASK fi####grandefm.com
Другое
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Create /TN "Updates\cxdTiYc" /XML "%TEMP%\tmpB7CA.tmp" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\vbc.exe'
- '%WINDIR%\explorer.exe' {F34EC6D1-895B-4806-959C-01B8FEAFF719} (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%APPDATA%\cxdTiYc.exe" (со скрытым окном)
