Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\net.exe' stop w32time
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\windowspowershell\v1.0\configure.ini
- %HOMEPATH%\desktop\<Имя файла>.lnk
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\<Имя файла>.exe.log
Сетевая активность
Подключается к
- 'se#####01.autovpro.com':80
- 'se#####01.autovpro.com':443
- 'x1.#.lencr.org':80
TCP
Запросы HTTP GET
- http://se#####01.autovpro.com/Auto%20Kiem%20Hiep%20Tinh%20Tepaylink/Version.txt
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/CABD2A79A1076A31F21D253635CB039D4329A5E8.crt?64##############
Другие
- 'se#####01.autovpro.com':443
UDP
- DNS ASK se#####01.autovpro.com
- DNS ASK x1.#.lencr.org
- DNS ASK it.##ol.ntp.org
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C @echo on &@setlocal enableextensions&@echo =========================&@echo Turn off the time service&net stop w32time&@echo ==================================================================... (со скрытым окном)
- '%WINDIR%\syswow64\net1.exe' stop w32time
- '%WINDIR%\syswow64\w32tm.exe' /config /syncfromflags:manual /manualpeerlist:"time.windows.com it.pool.ntp.org"
- '<SYSTEM32>\w32tm.exe' /config /syncfromflags:manual /manualpeerlist:"time.windows.com it.pool.ntp.org"
- '%WINDIR%\syswow64\net.exe' start w32time
- '%WINDIR%\syswow64\net1.exe' start w32time
- '%WINDIR%\syswow64\w32tm.exe' /config /update
- '<SYSTEM32>\w32tm.exe' /config /update
- '%WINDIR%\syswow64\w32tm.exe' /resync /rediscover
- '<SYSTEM32>\w32tm.exe' /resync /rediscover
