Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %WINDIR%\tasks\at1.job
- <SYSTEM32>\tasks\at1
- %WINDIR%\tasks\at2.job
- <SYSTEM32>\tasks\at2
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\at.exe' 10:54 <SYSTEM32>\cmd.exe /c del /F /Q "<Полный путь к файлу>"
- '%WINDIR%\syswow64\at.exe' 09:37 /every:Th "%WINDIR%\exxplorer.exe"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\setup.exe
- %TEMP%\ixp000.tmp\euro
- %TEMP%\ixp000.tmp\obx57250
- %TEMP%\ixp000.tmp\lmx4713048
- %TEMP%\ixp000.tmp\lmx5115001
- %TEMP%\ixp000.tmp\filter1
- %WINDIR%\syswow64\c_10026.nls
- %WINDIR%\exxplorer.exe
- %WINDIR%\syswow64\c_208880.nls
- %WINDIR%\syswow64\c__949.nls
- %WINDIR%\syswow64\sscoree.dll
- %WINDIR%\syswow64\3088\inf3088.dat
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\s-1-5-18\d42cc0c3858a58db2db37658219e6400_0cb67e2f-dc95-45ca-8fb8-69bde8e3f814
Удаляет следующие файлы
- %TEMP%\ixp000.tmp\filter1
- %TEMP%\ixp000.tmp\lmx5115001
- %TEMP%\ixp000.tmp\lmx4713048
- %TEMP%\ixp000.tmp\obx57250
- %TEMP%\ixp000.tmp\euro
- %TEMP%\ixp000.tmp\setup.exe
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\setup.exe' iNeX0x0s sP 2 4 2 Euro OBX57250 LMX4713048 LMX5115001 filter1
- '%WINDIR%\exxplorer.exe' "<SYSTEM32>\C_208880.NLS"
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c at 09:37 /every:Th "%WINDIR%\exxplorer.exe" (со скрытым окном)
- '%WINDIR%\syswow64\regsvr32.exe' /s "<SYSTEM32>\sscoree.dll"
- '%WINDIR%\syswow64\cmd.exe' /c at 10:54 <SYSTEM32>\cmd.exe /c del /F /Q "<Полный путь к файлу>" (со скрытым окном)
- '%WINDIR%\syswow64\icacls.exe' <SYSTEM32>\3088 /setintegritylevel (OI)(CI)low /T /C (со скрытым окном)
