Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updates\undsrwkvegggy
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\installutil.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\debug\wia\undsrwkvegggy.exe
- %TEMP%\tmp9980.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\debug\wia\undsrwkvegggy.exe
Удаляет следующие файлы
- %TEMP%\tmp9980.tmp
Сетевая активность
UDP
- DNS ASK cl#####.enigmasolutions.xyz
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v2.0.50727\installutil.exe' /logtoconsole=false /logfile= /u "<Полный путь к файлу>" (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\unDSRWkVegGgy" /XML "%TEMP%\tmp9980.tmp" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\installutil.exe'
