Техническая информация
Вредоносные функции
Патчит код
в динамической библиотеке AMSI
- Процесс ofyo.exe, модуль Amsi.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\4180-1764-<Имя файла>.exe-14-42-38-245.dump
- %TEMP%\guardian_src_6ea5733b6256438da6cc6a964ec09a59.cs
- %TEMP%\csc6db51e5de9364076b8879a416be7b4b6.tmp
- %TEMP%\res3659.tmp
- %TEMP%\<Имя файла>.exe
Удаляет файлы, которые сам же создал
- %TEMP%\res3659.tmp
- %TEMP%\csc6db51e5de9364076b8879a416be7b4b6.tmp
- %TEMP%\guardian_src_6ea5733b6256438da6cc6a964ec09a59.cs
Сетевая активность
UDP
- DNS ASK ke##uth.win
Другое
Создает и запускает на исполнение
- '%TEMP%\<Имя файла>.exe' 4180
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\csc.exe' /target:exe /out:"%TEMP%\<Имя файла>.exe" "%TEMP%\guardian_src_6ea5733b6256438da6cc6a964ec09a59.cs"
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES3659.tmp" "%TEMP%\CSC6DB51E5DE9364076B8879A416BE7B4B6.TMP" (со скрытым окном)
