Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\neuralogix
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- health.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\comfort
- %TEMP%\ixp000.tmp\marc
- %TEMP%\ixp000.tmp\cds.png
- %TEMP%\ixp000.tmp\situations.png
- %TEMP%\ixp000.tmp\wagner
- %TEMP%\ixp000.tmp\nasty
- %TEMP%\ixp000.tmp\732656\health.exe
- %TEMP%\ixp000.tmp\732656\j
- %LOCALAPPDATA%\neurasoft dynamics\y
- %LOCALAPPDATA%\neurasoft dynamics\neuralogix.exe
- %LOCALAPPDATA%\neurasoft dynamics\neuralogix.lnk
Удаляет файлы, которые сам же создал
- %TEMP%\ixp000.tmp\nasty
- %TEMP%\ixp000.tmp\wagner
- %TEMP%\ixp000.tmp\situations.png
- %TEMP%\ixp000.tmp\cds.png
- %TEMP%\ixp000.tmp\marc
- %TEMP%\ixp000.tmp\comfort
- %TEMP%\ixp000.tmp\732656\health.exe
- %TEMP%\ixp000.tmp\732656\j
Сетевая активность
UDP
- DNS ASK yk#######SrHhF.ykGOPRsApSrHhF
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\732656\health.exe' J
Запускает на исполнение
- '<SYSTEM32>\dllhost.exe' /Ijud774873248jfjkskd84 (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c IPDrPfw & type Situations.png | %comspec% (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /S /D /c" type Situations.png "
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\findstr.exe' /V "Driven" Comfort
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "NeuraLogix" /tr " '%LOCALAPPDATA%\NeuraSoft Dynamics\NeuraLogix.exe' '%LOCALAPPDATA%\NeuraSoft Dynamics\Y'" /sc onlogon /F /RL HIGHEST (со скрытым окном)
