Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Noteped' = '%LOCALAPPDATA%\Noteped.exe -boot'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\wscript.exe
следующие пользовательские процессы:
- noteped.exe
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\noteped.exe
Удаляет следующие файлы
- %LOCALAPPDATA%\noteped.exe
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\noteped.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy "<Полный путь к файлу>" "%LOCALAPPDATA%\Noteped.exe" (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c, "%LOCALAPPDATA%\Noteped.exe" (со скрытым окном)
- '%WINDIR%\syswow64\wscript.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%LOCALAPPDATA%\Noteped.exe"
