Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\main\file.bin
- %TEMP%\main\killduplicate.cmd
- %TEMP%\main\main.bat
- %TEMP%\main\7z.dll
- %TEMP%\main\7z.exe
- %TEMP%\main\extracted\file_2.zip
- %TEMP%\main\extracted\antiav.data
- %TEMP%\main\extracted\file_1.zip
- %TEMP%\main\extracted\6pqfk7rte53p4ntw3je04hf19.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\main\killduplicate.cmd
- %TEMP%\main\6pqfk7rte53p4ntw3je04hf19.exe
Перемещает следующие файлы
- %TEMP%\main\file.bin в %TEMP%\main\file.zip
- %TEMP%\main\extracted\6pqfk7rte53p4ntw3je04hf19.exe в %TEMP%\main\6pqfk7rte53p4ntw3je04hf19.exe
Подменяет следующие файлы
- %TEMP%\main\file.bin
Сетевая активность
Подключается к
- '5.##.66.25':3000
UDP
- DNS ASK jo##.net
Другое
Создает и запускает на исполнение
- '%TEMP%\main\7z.exe' e file.zip -p1627621416592256041558624581 -oextracted
- '%TEMP%\main\7z.exe' e extracted/file_2.zip -oextracted
- '%TEMP%\main\7z.exe' e extracted/file_1.zip -oextracted
- '%TEMP%\main\6pqfk7rte53p4ntw3je04hf19.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\main\main.bat" /S" (со скрытым окном)
- '<SYSTEM32>\mode.com' 65,10
- '<SYSTEM32>\attrib.exe' +H "6pqfk7Rte53P4NTw3je04HF19.exe"
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe'
