Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\onedrive standalone update task-s-1-5-21-3284517960-7159326840-4860953172-005
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /PID 4464
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\8e9c7a5b-2d3f-4b8c-9a1e-7f5c6d3e2a4b.tmp
- %TEMP%\8e9c7a5b-2d3f-4b8c-9a1e-f698c1efe29a.tmp
- %LOCALAPPDATA%\sessionmsg.exe
- %LOCALAPPDATA%\duser.dll
- %TEMP%\self_delete.vbs
Присваивает атрибут 'скрытый' для следующих файлов
- %LOCALAPPDATA%\sessionmsg.exe
- %LOCALAPPDATA%\duser.dll
Удаляет файлы, которые сам же создал
- %TEMP%\self_delete.vbs
Самоудаляется.
Сетевая активность
Подключается к
- 'ra#.#itcode.com':443
- '20#.#06.78.209':24789
TCP
Другие
- 'ra#.#itcode.com':443
- '20#.#06.78.209':24789
UDP
- DNS ASK ra#.#itcode.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%LOCALAPPDATA%\sessionmsg.exe'
- '<SYSTEM32>\wscript.exe' %TEMP%\self_delete.vbs
Запускает на исполнение
- '<SYSTEM32>\wscript.exe' %TEMP%\self_delete.vbs (со скрытым окном)
- '<SYSTEM32>\taskkill.exe' /F /PID 4464 (со скрытым окном)
