Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\firefox default browser agent e4a54150fa65b156
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- imposed.com
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\version
- %TEMP%\entire
- %TEMP%\accessing
- %TEMP%\frequently
- %TEMP%\blade
- %TEMP%\et
- %TEMP%\peripherals
- %TEMP%\frequently.cmd
- %TEMP%\390641\imposed.com
- %TEMP%\390641\b
- %APPDATA%\assftvh
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\assftvh
Удаляет следующие файлы
- %TEMP%\390641\b
- %TEMP%\390641\imposed.com
Сетевая активность
Подключается к
- 'qu###umqube.org':80
- 'qu###umqube.org':443
- 'in###ixus.org':80
- 'in###ixus.org':443
TCP
Запросы HTTP POST
- http://qu###umqube.org/index.php
- http://in###ixus.org/index.php
UDP
- DNS ASK tV#############jWdOBJOajLc.tVbpvlpuypYopkFjWdOBJOajLc
- DNS ASK qu###umqube.org
- DNS ASK in###ixus.org
Другое
Создает и запускает на исполнение
- '%TEMP%\390641\imposed.com' B
- '%TEMP%\390641\imposed.com'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Frequently Frequently.cmd & Frequently.cmd (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "wrsa opssvc"
- '%WINDIR%\syswow64\findstr.exe' "AvastUI AVGUI bdservicehost nsWscSvc ekrn SophosHealth"
- '%WINDIR%\syswow64\cmd.exe' /c md 390641
- '%WINDIR%\syswow64\findstr.exe' /V "ConventionTroopsStudiedTooth" Version
- '%WINDIR%\syswow64\cmd.exe' /c copy /b ..\Accessing + ..\Entire + ..\Peripherals + ..\Et B
- '%WINDIR%\syswow64\choice.exe' /d y /t 5
