Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\FE4F4D56-1424728569-E253-ED55-512E4EB3D449\nsp3.tmp' /fd="<LS_APPDATA>\FE4F4D56-1424728569-E253-ED55-512E4EB3D449"
Запускает на исполнение:
- '<SYSTEM32>\xcopy.exe' <Служебный элемент>
- '<SYSTEM32>\xcopy.exe' "C:\DbgLog.log" Z:\ /Y
- '<SYSTEM32>\cmd.exe' /c ""\startup_local.bat" remove"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsv5.tmp\inetc.dll
- <LS_APPDATA>\FE4F4D56-1424728569-E253-ED55-512E4EB3D449\pnst9.exe
- %TEMP%\nsxA.tmp
- %TEMP%\nsmC.tmp
- %TEMP%\nsbB.tmp
- %TEMP%\nsv5.tmp\WmiInspector.dll
- %TEMP%\nsg2.tmp\WmiInspector.dll
- %TEMP%\nsg2.tmp\System.dll
- %TEMP%\nsg2.tmp\KillProcDLL.dll
- %TEMP%\nsv5.tmp\System.dll
- <LS_APPDATA>\FE4F4D56-1424728569-E253-ED55-512E4EB3D449\nsp3.tmp
Перемещает следующие файлы:
- %TEMP%\nsbB.tmp в <LS_APPDATA>\FE4F4D56-1424728569-E253-ED55-512E4EB3D449\onsq8.tmp
- %TEMP%\nsxA.tmp в <LS_APPDATA>\FE4F4D56-1424728569-E253-ED55-512E4EB3D449\rnsb7.exe
Сетевая активность:
Подключается к:
- 'd1#######4o4a3.cloudfront.net':80
TCP:
Запросы HTTP GET:
- d1#######4o4a3.cloudfront.net/SU_Srv.exe
- d1#######4o4a3.cloudfront.net/Update_Notifier.exe
- d1#######4o4a3.cloudfront.net/runasu.exe
UDP:
- DNS ASK d1#######4o4a3.cloudfront.net
