Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\current.vbs
- %APPDATA%\microsoft\windows\start menu\programs\startup\propagationflags.vbs
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\vnckriptor.exe
- %APPDATA%\current.exe
- %APPDATA%\propagationflags.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\installutil.exe.log
Сетевая активность
Подключается к
- 'bu#####eriya1c.moscow':443
- 'x1.#.lencr.org':80
- '19#.#6.227.209':5444
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
Другие
- 'bu#####eriya1c.moscow':443
- '19#.#6.227.209':5444
UDP
- DNS ASK bu#####eriya1c.moscow
- DNS ASK x1.#.lencr.org
Другое
Создает и запускает на исполнение
- '%TEMP%\vnckriptor.exe'
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe'
