Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\net.exe' stop SMPDiskOptimizer /y
- '%WINDIR%\syswow64\net.exe' stop "SMPDiskOptimizer" /y
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'FileMonClass', WindowName: ''
- ClassName: 'RegMonClass', WindowName: ''
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\is-fnn4k.tmp\<Имя файла>.tmp
- %TEMP%\is-4pn22.tmp\_isetup\_regdll.tmp
- %TEMP%\is-4pn22.tmp\_isetup\_setup64.tmp
- %TEMP%\is-4pn22.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-4pn22.tmp\smpsys.dll
- %TEMP%\is-4pn22.tmp\killsmpprocesses.exe
- %TEMP%\is-4pn22.tmp\aseng.dll
- %TEMP%\is-4pn22.tmp\zlibwapi.dll
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Создает и запускает на исполнение
- '%TEMP%\is-fnn4k.tmp\<Имя файла>.tmp' /SL5="$60248,9452594,54272,<Полный путь к файлу>"
- '%TEMP%\is-4pn22.tmp\killsmpprocesses.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\net1.exe' stop SMPDiskOptimizer /y
- '%WINDIR%\syswow64\net1.exe' stop "SMPDiskOptimizer" /y
- '%WINDIR%\syswow64\net.exe' stop SMPDiskOptimizer /y (со скрытым окном)
- '%TEMP%\is-4pn22.tmp\killsmpprocesses.exe' (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' stop "SMPDiskOptimizer" /y (со скрытым окном)
