Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'e762428b721a1de0e50cb93c91ca629c' = '"C:\ProgramData\System32.exe" ..'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'e762428b721a1de0e50cb93c91ca629c' = '"C:\ProgramData\System32.exe" ..'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\ProgramData\System32.exe'
- '<LS_APPDATA>xiWGFuSDEO.exe'
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "C:\ProgramData\System32.exe" "System32.exe" ENABLE
- '<SYSTEM32>\DllHost.exe' /Processid:{76D0CB12-7604-4048-B83C-1005C7DDC503}
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Roaming\Microsoft\Windows\Recent\AppData.lnk
- C:\ProgramData\System32.exe
- %APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e762428b721a1de0e50cb93c91ca629c.exe
- %APPDATA%\Roaming\Microsoft\Windows\Recent\LocaloMPqlVesEc.lnk
- <LS_APPDATA>xiWGFuSDEO.exe
- <LS_APPDATA>oMPqlVesEc.jpg
Удаляет следующие файлы:
- <SYSTEM32>\Tasks\Microsoft\Windows Defender\MP Scheduled Scan
Сетевая активность:
Подключается к:
- 'an#####acker.no-ip.biz':1177
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK an#####acker.no-ip.biz
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'OleMainThreadWndClass' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
