Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\help\0202021dsfsd.ini
- %WINDIR%\syswow64\help\1.isjcvlw
- %WINDIR%\syswow64\help\2.isjcvlw
- %WINDIR%\syswow64\isjcvlw\isjcvlw\efqdpbm\m.ini
- %WINDIR%\2.ini
- %WINDIR%\help\isjcvlw.hlp
- %WINDIR%\syswow64\isjcvlw\isjcvlw\efqdpbm\deperbm.exe
- <SYSTEM32>\spool\drivers\w32x86\3\sjcvlwi\sjcvlwi.exe
- D:\recycler\s-1-5-18\dc8\sjcvlwi\sjcvlwi000.imd
- D:\recycler\s-1-5-18\dc8\sjcvlwi\sjcvlwi001.imd
- D:\recycler\s-1-5-18\dc8\sjcvlwi\sjcvlwi002.imd
- D:\recycler\s-1-5-18\dc8\sjcvlwi\sjcvlwi003.imd
- D:\recycler\s-1-5-18\dc8\sjcvlwi\sjcvlwi004.imd
- D:\recycler\s-1-5-18\dc8\sjcvlwi\sjcvlwi005.imd
- D:\recycler\s-1-5-18\dc8\sjcvlwi\sjcvlwi006.imd
- D:\recycler\s-1-5-18\dc8\sjcvlwi\sjcvlwi007.imd
- D:\recycler\s-1-5-18\dc8\sjcvlwi\sjcvlwi008.imd
- D:\recycler\s-1-5-18\dc8\sjcvlwi\sjcvlwi009.imd
- D:\recycler\s-1-5-18\dc8\sjcvlwi\sjcvlwi010.imd
- %WINDIR%\sjcvlwi0.ini
Сетевая активность
Подключается к
- 'mo#####.map.fastly.net':443
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
- '11#.#47.137.132':8687
UDP
- DNS ASK mo#####.map.fastly.net
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\isjcvlw\isjcvlw\efqdpbm\deperbm.exe' -close
- '%WINDIR%\syswow64\isjcvlw\isjcvlw\efqdpbm\deperbm.exe' ;
Запускает на исполнение
- '%WINDIR%\syswow64\isjcvlw\isjcvlw\efqdpbm\deperbm.exe' -close (со скрытым окном)
- '%WINDIR%\syswow64\isjcvlw\isjcvlw\efqdpbm\deperbm.exe' ; (со скрытым окном)
