Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- '<SYSTEM32>\cscript.exe' "C:\temp\download_SEP.vbs"
Запускает на исполнение:
- '<SYSTEM32>\find.exe' /C "RUNNING"
- '%TEMP%\nsr2.tmp\ns4.tmp' "<SYSTEM32>\CScript.exe" "C:\temp\download_SEP.vbs"
- '<SYSTEM32>\sc.exe' QUERY SepMasterService
- '%TEMP%\nsr2.tmp\ns3.tmp' "<SYSTEM32>\cmd.exe" /c "sc QUERY SepMasterService | FIND /C "RUNNING""
- '<SYSTEM32>\cmd.exe' /c "sc QUERY SepMasterService | FIND /C "RUNNING""
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsr2.tmp\ns3.tmp
- %TEMP%\nsr2.tmp\System.dll
- %TEMP%\nsr2.tmp\ns4.tmp
- C:\temp\download_SEP.vbs
- C:\temp\download_SEP64.vbs
- %TEMP%\nsr2.tmp\nsExec.dll
Удаляет следующие файлы:
- %TEMP%\nsr2.tmp\ns3.tmp
Сетевая активность:
Подключается к:
- '21#.#18.197.59':8014
- 'localhost':1038
