Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\nigga startup
Вредоносные функции
Патчит код
в динамической библиотеке AMSI
- Процесс ibzjzrh.exe, модуль Amsi.dll
- Процесс client.exe, модуль Amsi.dll
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\subdir\client.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
Сетевая активность
UDP
- DNS ASK un########ntrance.with.playit.plus
- DNS ASK fi#####.###tings.services.mozilla.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\subdir\client.exe'
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /tn "Nigga Startup" /sc ONLOGON /tr "%APPDATA%\SubDir\Client.exe" /rl HIGHEST /f
