Техническая информация
Вредоносные функции
Патчит код
в динамической библиотеке AMSI
- Процесс mijagf.exe, модуль Amsi.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\5104-4908-<Имя файла>.exe-19-05-04-512.dump
- %TEMP%\guardian_src_7c1f69f49ea0474ca2494455eb464bf7.cs
- %TEMP%\csc3b9b03dd6315431da392b1661869eee7.tmp
- %TEMP%\res4e40.tmp
- %TEMP%\<Имя файла>.exe
Удаляет файлы, которые сам же создал
- %TEMP%\res4e40.tmp
- %TEMP%\csc3b9b03dd6315431da392b1661869eee7.tmp
- %TEMP%\guardian_src_7c1f69f49ea0474ca2494455eb464bf7.cs
Сетевая активность
Подключается к
- 'gl####authtool.com':443
- 'x1.#.lencr.org':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
Другие
- 'gl####authtool.com':443
UDP
- DNS ASK ke##uth.win
- DNS ASK gl####authtool.com
- DNS ASK x1.#.lencr.org
Другое
Создает и запускает на исполнение
- '%TEMP%\<Имя файла>.exe' 5104
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\csc.exe' /target:exe /out:"%TEMP%\<Имя файла>.exe" "%TEMP%\guardian_src_7c1f69f49ea0474ca2494455eb464bf7.cs"
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4E40.tmp" "%TEMP%\CSC3B9B03DD6315431DA392B1661869EEE7.TMP" (со скрытым окном)
