Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\method.vbs
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework64\v4.0.30319\installutil.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\3012-2392-<Имя файла>.exe-11-24-11-311.dump
- %TEMP%\content\3012-2392-<Имя файла>.exe-11-24-11-922.dump
- %APPDATA%\method.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\installutil.exe.log
Сетевая активность
Подключается к
- 'ch####p.dyndns.org':80
- 're####freegeoip.org':443
TCP
Запросы HTTP GET
Другие
- 're####freegeoip.org':443
UDP
- DNS ASK ch####p.dyndns.org
- DNS ASK re####freegeoip.org
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\installutil.exe'
- '<SYSTEM32>\cmd.exe' /C choice /C Y /N /D Y /T 3 & Del "%WINDIR%\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe" (со скрытым окном)
- '<SYSTEM32>\choice.exe' /C Y /N /D Y /T 3
