Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\nvdisplay.exe
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: 'OllyDBg'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut498d.tmp
- %TEMP%\nvdisplay.exe
- %TEMP%\aut49bd.tmp
- %TEMP%\open.pdf
- %LOCALAPPDATA%\adobe\color\profiles\wscrgb.icc
- %LOCALAPPDATA%\adobe\color\profiles\wsrgb.icc
- %LOCALAPPDATA%\adobe\color\acecache11.lst
Удаляет следующие файлы
- %TEMP%\aut498d.tmp
- %TEMP%\aut49bd.tmp
Сетевая активность
UDP
- DNS ASK ap#.###o-updater.online
Другое
Ищет следующие окна
- ClassName: 'ObsidianGUI' WindowName: ''
- ClassName: 'ID' WindowName: ''
- ClassName: 'WinDbgFrameClass' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\nvdisplay.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %LOCALAPPDATA%\Temp/OPEN.pdf (со скрытым окном)
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%TEMP%\OPEN.pdf"
