Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\cestm
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- yunkynotes.exe
- cestm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ystickyrealen34.cmd
- %TEMP%\zxdfser.exe
- %TEMP%\yunkynotes.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\yunkynotes.exe.log
- %APPDATA%\cestm.exe
- %TEMP%\tmp4288.tmp.bat
- nul
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\cestm.exe.log
Сетевая активность
UDP
- DNS ASK qp#######tmecamtest.ddns.net
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\zxdfser.exe' -pqoutgfbdmsigsohdfuishgrkgysgfghsithngmkaswodtyuiofxvflfadfdyehngfszafugyRygfysrsoihfihgsoirsugsudbfrgsfskfshbrhhguhrhgnmePvqxsSb -d%LOCALAPPDATA%\Temp
- '%TEMP%\yunkynotes.exe'
- '%APPDATA%\cestm.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\ystickyrealen34.cmd" "
- '%WINDIR%\syswow64\notepad.exe' %TEMP%\OdemeInfo.txt
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn "cestm" /tr '"%APPDATA%\cestm.exe"' & exit (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\tmp4288.tmp.bat""
- '%WINDIR%\syswow64\schtasks.exe' /create /f /sc onlogon /rl highest /tn "cestm" /tr '"%APPDATA%\cestm.exe"'
- '%WINDIR%\syswow64\timeout.exe' 3
