Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<Полный путь к файлу>' (загружен из сети Интернет)
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\volt dependencies.exe
- %TEMP%\volt.exe
- %TEMP%\nsb8e66.tmp
- %TEMP%\nsr8e77.tmp\system.dll
- %TEMP%\nsr8e77.tmp\modern-wizard.bmp
- %TEMP%\nsr8e77.tmp\nsdialogs.dll
Сетевая активность
Подключается к
- 'gi##ub.com':443
- '23.##5.2.144':80
- 'oc##.#ectigo.com':80
- 'ra#.####ubusercontent.com':443
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?31##############
- http://oc##.#ectigo.com/MFIwUDBOMEwwSjAJBgUrDgMCGgUABBRDC9IOTxN6GmyRjyTl2n4yTUczyAQUjYxexFStiuF36Zv5mwXhuAGNYeECEQCQdzRBRzFu%2BZWZdnrq%2FfG5
Другие
- 'gi##ub.com':443
- 'ra#.####ubusercontent.com':443
UDP
- DNS ASK gi##ub.com
- DNS ASK oc##.#ectigo.com
- DNS ASK ra#.####ubusercontent.com
Другое
Создает и запускает на исполнение
- '%TEMP%\volt dependencies.exe'
- '%TEMP%\volt.exe'
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -Command "Get-WmiObject Win32_VideoController | Select-Object -ExpandProperty CurrentRefreshRate"
- '%TEMP%\volt dependencies.exe' (со скрытым окном)
