Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Defender' = '%APPDATA%\app\winlogon.exe.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %APPDATA%\app\winlogon.exe.exe
- %APPDATA%\Server.exe
- %APPDATA%\7za.exe "x" "-y" "%APPDATA%\Server.7z" "-pHVLnt5Dy"
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\app\winlogon.exe.exe
- %APPDATA%\app\Set.bin
- <Текущая директория>\server.exe
- %APPDATA%\7za.exe
- %APPDATA%\Server.txt
Удаляет следующие файлы:
- %APPDATA%\Server.7z
- %APPDATA%\Server.exe
- %APPDATA%\7za.exe
Сетевая активность:
Подключается к:
- 'bo#.###oksby.tkip.php':80
- 'bo#.####ksby.tkconnect.php':80
TCP:
Запросы HTTP GET:
- bo#.###oksby.tkip.php/
Запросы HTTP POST:
- bo#.####ksby.tkconnect.php/
UDP:
- DNS ASK bo#.###oksby.tkip.php
- DNS ASK bo#.####ksby.tkconnect.php
