Техническая информация
Вредоносные функции
Загружает
- http://blady2015.cba.pl/latestmn.txt как c:\latestmn.txt
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7zipsfx.000\mn.lnk
- %TEMP%\7zipsfx.000\mn\usb.ico
- %TEMP%\7zipsfx.000\mn\update.cmd
- %TEMP%\7zipsfx.000\mn\content.aed
- %TEMP%\7zipsfx.000\mn\mn.exe
- %TEMP%\7zipsfx.000\mn\wxmsw28u_vc_ash.dll
- %ProgramFiles%\mn\content.aed
- %ProgramFiles%\mn\mn.exe
- %ProgramFiles%\mn\update.cmd
- %ProgramFiles%\mn\usb.ico
- %ProgramFiles%\mn\wxmsw28u_vc_ash.dll
- C:\users\public\desktop\mn.lnk
- nul
- C:\latestmn.txt
- %TEMP%\7zsfx000.cmd
Удаляет следующие файлы
- %TEMP%\7zipsfx.000\mn\content.aed
- %TEMP%\7zipsfx.000\mn\mn.exe
- %TEMP%\7zipsfx.000\mn\update.cmd
- %TEMP%\7zipsfx.000\mn\usb.ico
- %TEMP%\7zipsfx.000\mn\wxmsw28u_vc_ash.dll
- %TEMP%\7zipsfx.000\mn.lnk
- %TEMP%\7zsfx000.cmd
Самоудаляется.
Сетевая активность
Подключается к
- 'bl####015.cba.pl':80
TCP
Запросы HTTP GET
- http://bl####015.cba.pl/LATESTMN.txt
UDP
- DNS ASK bl####015.cba.pl
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c XCOPY MN "%ProgramFiles%\MN\" /S /E /H /Y (со скрытым окном)
- '%WINDIR%\syswow64\xcopy.exe' MN "%ProgramFiles%\MN\" /S /E /H /Y
- '%WINDIR%\syswow64\cmd.exe' /c XCOPY MN.lnk C:\Users\Public\Desktop /C /H /Y (со скрытым окном)
- '%WINDIR%\syswow64\xcopy.exe' MN.lnk C:\Users\Public\Desktop /C /H /Y
- '%WINDIR%\syswow64\cmd.exe' /c ""%ProgramFiles%\MN\Update.cmd" "
- '%WINDIR%\syswow64\mode.com' CON COLS=80 LINES=14
- '%WINDIR%\syswow64\cmd.exe' /S /D /c" echo/%LOCALAPPDATA%\Temp"
- '%WINDIR%\syswow64\findstr.exe' /C:"("
- '%WINDIR%\syswow64\fltmc.exe'
- '%WINDIR%\syswow64\chcp.com' 852
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" " (со скрытым окном)
