Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\nigga startup
Вредоносные функции
Патчит код
в динамической библиотеке AMSI
- Процесс xzrosvd.exe, модуль Amsi.dll
в динамической библиотеке NTDLL
- Процесс xzrosvd.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\p724.exe
- %TEMP%\content\3104-5104-p724.exe-20-55-36-882.dump
- %APPDATA%\subdir\client.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\p724.exe.log
- %TEMP%\content\1192-2640-client.exe-20-55-38-904.dump
Сетевая активность
UDP
- DNS ASK un########ntrance.with.playit.plus
Другое
Создает и запускает на исполнение
- '%TEMP%\p724.exe'
- '%APPDATA%\subdir\client.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c start /B %TEMP%\p724.exe
- '<SYSTEM32>\schtasks.exe' /create /tn "Nigga Startup" /sc ONLOGON /tr "%APPDATA%\SubDir\Client.exe" /rl HIGHEST /f
