Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '{A269257C-9EFE-5C79-B303-A63978B2AEAE}' = '"%ALLUSERSPROFILE%\Application Data\{3E790D4C-B6CE-C069-B303-A63978B2AEAE}\93C6DDD3.exe"'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\03A647F41.tmp
- %APPDATA%\state.tmp
- %ALLUSERSPROFILE%\Application Data\salt.dat
- %ALLUSERSPROFILE%\Application Data\{3E790D4C-B6CE-C069-B303-A63978B2AEAE}\93C6DDD3.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- '52.##.214.72':443
- '19#.#09.206.212':443
- 'ip##fo.io':443
- 'localhost':1037
- '15#.#5.175.225':443
UDP:
- DNS ASK ip##fo.io
Другое:
Ищет следующие окна:
- ClassName: 'ЁжЂ|яяяяЈжЂ|«зЂ|+иЂ|юяяя' WindowName: 'ЁжЂ|яяяяЈжЂ|«зЂ|+иЂ|юяяя'
- ClassName: '???|???????|???|+??|????' WindowName: '???|???????|???|+??|????'
