Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- svchost015.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\soft.exe
- %TEMP%\rarsfx0\mas_aio.cmd
- %TEMP%\svchost015.exe
- %TEMP%\svcbd65.tmp
- nul
Сетевая активность
Подключается к
- '18#.#56.73.98':80
UDP
- DNS ASK drive.usercontent.google.com
Другое
Ищет следующие окна
- ClassName: 'Edit' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\soft.exe'
- '%TEMP%\svchost015.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\RarSFX0\MAS_AIO.cmd" "
- '<SYSTEM32>\sc.exe' query Null
- '<SYSTEM32>\find.exe' /i "RUNNING"
- '<SYSTEM32>\findstr.exe' /v "$" "MAS_AIO.cmd"
- '<SYSTEM32>\cmd.exe' /c ver
- '<SYSTEM32>\cmd.exe' /S /D /c" echo "AMD64 " "
- '<SYSTEM32>\find.exe' /i "ARM64"
- '<SYSTEM32>\cmd.exe' /S /D /c" echo "%TEMP%\RarSFX0\MAS_AIO.cmd" "
- '<SYSTEM32>\find.exe' /i "%LOCALAPPDATA%\Temp"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -nop -c write-host -back '"Red"' -fore '"white"' '"==== ERROR ===="'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -nop -c write-host -back '"Black"' -fore '"Yellow"' '"Press any key to Go back..."'
