Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\visualupdater
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\rundll32.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\0ydfek79lybqupa\visualupdater.dll
Сетевая активность
Подключается к
- 'sc#####hresources.com':443
- '19#.#32.210.172':80
- 'x1.#.lencr.org':80
- 'r1#.#.lencr.org':80
- 'nu###usgate.com':443
- 're####rywave.com':443
- 'co###ether.com':443
TCP
Запросы HTTP GET
- http://r1#.#.lencr.org/59.crl
- http://r1#.#.lencr.org/13.crl
Другие
- 'sc#####hresources.com':443
- 'nu###usgate.com':443
- 're####rywave.com':443
- 'co###ether.com':443
UDP
- DNS ASK sc#####hresources.com
- DNS ASK x1.#.lencr.org
- DNS ASK r1#.#.lencr.org
- DNS ASK nu###usgate.com
- DNS ASK re####rywave.com
- DNS ASK co###ether.com
Другое
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' %APPDATA%\0YDfEK79lYBquPA\VisualUpdater.dll RTKBootStrv
- '<SYSTEM32>\schtasks.exe' /Create /SC MINUTE /MO 18 /TN "VisualUpdater" /TR "<SYSTEM32>\rundll32.exe %APPDATA%\0YDfEK79lYBquPA\VisualUpdater.dll RTKBootStrv"
- '<SYSTEM32>\schtasks.exe' /run /tn "VisualUpdater"
