Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\at.exe' 8765867586876879
Внедряет код в
следующие пользовательские процессы:
- regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\daisy
- %TEMP%\ixp000.tmp\community.vss
- %TEMP%\ixp000.tmp\squad.vss
- %TEMP%\ixp000.tmp\plants
- %TEMP%\ixp000.tmp\phone
- %TEMP%\ixp000.tmp\completely
- %TEMP%\ixp000.tmp\809266\cardiac.exe
- %TEMP%\ixp000.tmp\809266\n
- %TEMP%\ixp000.tmp\809266\regasm.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\regasm.exe.log
Удаляет файлы, которые сам же создал
- %TEMP%\ixp000.tmp\809266\n
Самоудаляется.
Сетевая активность
Подключается к
- '19#.#6.226.162':7673
TCP
Другие
- '19#.#6.226.162':7673
UDP
- DNS ASK la###########ovCAgJpvX.laQKCmPhEzjtRovCAgJpvX
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\809266\cardiac.exe' N
- '%TEMP%\ixp000.tmp\809266\cardiac.exe' /AutoIt3ExecuteLine "Sleep(10633)"
- '%TEMP%\ixp000.tmp\809266\regasm.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c CXqMHtf & type Squad.vss | %comspec% (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /S /D /c" type Squad.vss "
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\cmd.exe' /c set /p ="MZ"
- '<SYSTEM32>\cmd.exe' /c findstr /V "PROZAC" Plants
- '<SYSTEM32>\findstr.exe' /V "PROZAC" Plants
- '<SYSTEM32>\cmd.exe' /c copy /b /y 809266\Cardiac.exe + Daisy + Completely + Phone 809266\Cardiac.exe
- '<SYSTEM32>\cmd.exe' /c copy /b /y ..\Community.vss N
- '<SYSTEM32>\at.exe' 8765867586876879 (со скрытым окном)
