Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'evx' = 'regsvr32 /s "%APPDATA%\evx.r3x" /f'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' /s "%APPDATA%\evx.r3x"
- '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v evx /d "regsvr32 /s """%APPDATA%\evx.r3x""" /f
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\evx.r3x
- %APPDATA%\id
Удаляет следующие файлы:
- %TEMP%\~DFAA98.tmp
Сетевая активность:
Подключается к:
- 'mu####axuparola.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- mu####axuparola.com/v1/muta/infect/inf2/?ch########################################################################
- mu####axuparola.com/v1/muta/evx.jpg
UDP:
- DNS ASK mu####axuparola.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
