Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\cloudbg
- %WINDIR%\tasks\calsync_x64.job
- <SYSTEM32>\tasks\calsync_x64
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- neuromanage128.exe
- tcpvcon.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\dock-sola32.exe
- %TEMP%\rarsfx0\jaim.mbi
- %TEMP%\rarsfx0\jeb.pkbq
- %TEMP%\rarsfx0\rtl280.bpl
- %TEMP%\rarsfx0\vcl280.bpl
- %ALLUSERSPROFILE%\xecloud\dock-sola32.exe
- %ALLUSERSPROFILE%\xecloud\jaim.mbi
- %ALLUSERSPROFILE%\xecloud\rtl280.bpl
- %ALLUSERSPROFILE%\xecloud\vcl280.bpl
- %ALLUSERSPROFILE%\xecloud\jeb.pkbq
- %APPDATA%\xecloud\tcpvcon.exe
- %TEMP%\aca427b.tmp
- %TEMP%\acf4bcf.tmp
- %ALLUSERSPROFILE%\neuromanage128.exe
- %TEMP%\ada6143.tmp
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\s-1-5-18\d42cc0c3858a58db2db37658219e6400_0cb67e2f-dc95-45ca-8fb8-69bde8e3f814
Удаляет следующие файлы
- %TEMP%\rarsfx0\dock-sola32.exe
- %TEMP%\rarsfx0\jaim.mbi
- %TEMP%\rarsfx0\jeb.pkbq
- %TEMP%\rarsfx0\rtl280.bpl
- %TEMP%\rarsfx0\vcl280.bpl
- %TEMP%\aca427b.tmp
Подменяет следующие файлы
- %TEMP%\aca427b.tmp
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\dock-sola32.exe'
- '%ALLUSERSPROFILE%\xecloud\dock-sola32.exe'
- '%ALLUSERSPROFILE%\neuromanage128.exe'
- '%APPDATA%\xecloud\tcpvcon.exe' "%APPDATA%\XEcloud\tcpvcon.exe" /accepteula
