Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\at.exe' 8765867586876879
Внедряет код в
следующие пользовательские процессы:
- regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\compact
- %TEMP%\ixp000.tmp\chevy.iso
- %TEMP%\ixp000.tmp\stuck
- %TEMP%\ixp000.tmp\tools.iso
- %TEMP%\ixp000.tmp\hay
- %TEMP%\ixp000.tmp\aviation
- %TEMP%\ixp000.tmp\42313\considered.exe
- %TEMP%\ixp000.tmp\42313\j
- %TEMP%\ixp000.tmp\42313\regasm.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\regasm.exe.log
Удаляет файлы, которые сам же создал
- %TEMP%\ixp000.tmp\42313\j
Самоудаляется.
Сетевая активность
Подключается к
- '18#.#0.162.118':25180
TCP
Другие
- '18#.#0.162.118':25180
UDP
- DNS ASK dT######kiTz.dTvRAGcDkiTz
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\42313\considered.exe' J
- '%TEMP%\ixp000.tmp\42313\considered.exe' /AutoIt3ExecuteLine "Sleep(12911)"
- '%TEMP%\ixp000.tmp\42313\regasm.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c SNFKWlOk & type Tools.iso | %comspec% (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /S /D /c" type Tools.iso "
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\cmd.exe' /c set /p ="MZ"
- '<SYSTEM32>\cmd.exe' /c findstr /V "Phase" Hay
- '<SYSTEM32>\findstr.exe' /V "Phase" Hay
- '<SYSTEM32>\cmd.exe' /c copy /b /y 42313\Considered.exe + Stuck + Compact + Aviation 42313\Considered.exe
- '<SYSTEM32>\cmd.exe' /c copy /b /y ..\Chevy.iso J
- '<SYSTEM32>\at.exe' 8765867586876879 (со скрытым окном)
