Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsfc84e.tmp
- %TEMP%\nskc8bc.tmp\setup.exe
- %TEMP%\nskc8bc.tmp\ep.exe
- %TEMP%\nskc8bc.tmp\apps.exe
- %TEMP%\nskc8bc.tmp\e4u.exe
- <SYSTEM32>\spool\prtprocs\x64\d7f7.tmp
- %TEMP%\a..bat
Удаляет следующие файлы
- %TEMP%\nskc8bc.tmp\apps.exe
- %TEMP%\nskc8bc.tmp\e4u.exe
- %TEMP%\nskc8bc.tmp\ep.exe
- %TEMP%\nskc8bc.tmp\setup.exe
- <SYSTEM32>\spool\prtprocs\x64\d7f7.tmp
Перемещает следующие файлы
- %TEMP%\nskc8bc.tmp\apps.exe в %TEMP%\e917.tmp
Сетевая активность
Подключается к
- 'vo####r-arts.com':80
TCP
Запросы HTTP POST
- http://vo####r-arts.com/view.php?da###############################################################################################################
UDP
- DNS ASK fr####rts-2009.com
- DNS ASK we####rts-area.com
- DNS ASK vo####r-arts.com
- DNS ASK a5###0057.cn
Другое
Создает и запускает на исполнение
- '%TEMP%\nskc8bc.tmp\setup.exe'
- '%TEMP%\nskc8bc.tmp\ep.exe'
- '%TEMP%\nskc8bc.tmp\apps.exe'
- '%TEMP%\nskc8bc.tmp\e4u.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /q /c "%TEMP%\a..bat" > nul 2> nul (со скрытым окном)
