Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\dbfcabfeabgb.exe' 4-4-1-1-5-8-0-7-1-4-2 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
- '%TEMP%\Setup.exe'
Запускает на исполнение:
- '<SYSTEM32>\conhost.exe' -k WerSvcGroup
- '<SYSTEM32>\Wbem\wmic.exe' /output:%TEMP%\81427392448.txt bios get version
- '<SYSTEM32>\Wbem\wmic.exe' /output:%TEMP%\81427392448.txt bios get serialnumber
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsn49DC.tmp\nsisunz.dll
- %TEMP%\zz49.exe
- %TEMP%\81427392448.txt
- %TEMP%\dbfcabfeabgb.zip
- %TEMP%\i3egjwnv.s0i
- %TEMP%\zz49.dbfcabfeabgb
- %TEMP%\nsn49DC.tmp\gtxgm.dll
Удаляет следующие файлы:
- %TEMP%\81427392448.txt
Перемещает следующие файлы:
- %TEMP%\zz49.exe в %TEMP%\dbfcabfeabgb.exe
- %TEMP%\i3egjwnv.s0i в %TEMP%\Setup.exe
Сетевая активность:
UDP:
- DNS ASK tl.##mcb.com
- DNS ASK tl.##mcd.com
- DNS ASK crl.microsoft.com
- DNS ASK se##.##e-app-data.info
- DNS ASK t2.##mcb.com
- DNS ASK ct###.#indowsupdate.com
- DNS ASK t1.##mcb.com
- DNS ASK dn#.##ftncsi.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
