Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<Полный путь к файлу>' (загружен из сети Интернет)
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
- <SYSTEM32>\cmstp.exe
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\rodk\nbgtpasrg.exe
- %LOCALAPPDATA%\windows66793\folderbp.exe
- %LOCALAPPDATA%\cache58884\appinstaller.exe
- %TEMP%\cmstp.inf
- %LOCALAPPDATA%\npupdater\core.exe
Удаляет файлы, которые сам же создал
- %TEMP%\cmstp.inf
Подменяет следующие файлы
- %TEMP%\cmstp.inf
Сетевая активность
Подключается к
- '17#.#6.152.62':5858
TCP
Запросы HTTP GET
- http://17#.##.152.62:5858/msnnsgbzjdd via 17#.#6.152.62
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\rodk\nbgtpasrg.exe'
- '%LOCALAPPDATA%\cache58884\appinstaller.exe' "%LOCALAPPDATA%\Windows66793\FolderBP.exe"
- '%LOCALAPPDATA%\cache58884\appinstaller.exe' "%LOCALAPPDATA%\npUpdater\core.exe"
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -WindowStyle Hidden -Command - (со скрытым окном)
- '<SYSTEM32>\cmstp.exe' /au "%TEMP%\cmstp.inf" (со скрытым окном)
