Техническая информация
Вредоносные функции
Патчит код
в динамической библиотеке AMSI
- Процесс ulzfsftx.exe, модуль Amsi.dll
в динамической библиотеке NTDLL
- Процесс ulzfsftx.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\lx.exe
- %TEMP%\content\1620-3808-lx.exe-13-27-17-954.dump
- %APPDATA%\microsoftofficerunap64.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\lx.exe.log
- %TEMP%\content\4332-4336-microsoftofficerunap64.exe-13-27-23-577.dump
- %TEMP%\content\4332-4336-microsoftofficerunap64.exe-13-27-25-630.dump
- %TEMP%\content\4332-4336-microsoftofficerunap64.exe-13-27-26-287.dump
- %TEMP%\content\4332-4336-microsoftofficerunap64.exe-13-27-26-302.dump
- %TEMP%\content\4332-4336-microsoftofficerunap64.exe-13-27-26-604.dump
- %TEMP%\content\4332-4336-microsoftofficerunap64.exe-13-27-26-789.dump
- %TEMP%\content\4332-4336-microsoftofficerunap64.exe-13-27-26-805.dump
- %TEMP%\content\4332-4336-microsoftofficerunap64.exe-13-27-26-852.dump
Сетевая активность
Подключается к
- '20#.#4.103.189':4782
Другое
Создает и запускает на исполнение
- '%TEMP%\lx.exe'
- '%APPDATA%\microsoftofficerunap64.exe'
Запускает на исполнение
- '%TEMP%\lx.exe' (со скрытым окном)
