Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'mo4Iutaba1' = 'C:\mo4Iutaba1mo4Iutaba1\mo4Iutaba1.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\v5rcZH\7F6eoz.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ping 127.0.0.1 && copy /Y "%TEMP%\v5rcZH\7F6eoz.exe" "C:\mo4Iutaba1mo4Iutaba1\mo4Iutaba1.exe" && copy /Y "%TEMP%\v5rcZH\x" C:\mo4Iutaba1mo4Iutaba1\x && copy /Y "%TEMP%\v5rcZH\mauv.dll" C:\mo...
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe'
- '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce" /v mo4Iutaba1 /t REG_SZ /d "C:\mo4Iutaba1mo4Iutaba1\mo4Iutaba1.exe" /f
- '<SYSTEM32>\cmd.exe' /c ping 127.0.0.1
- '<SYSTEM32>\ping.exe' 127.0.0.1
- '<SYSTEM32>\cmd.exe' /c ping 127.0.0.1 && reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce" /v mo4Iutaba1 /t REG_SZ /d "C:\mo4Iutaba1mo4Iutaba1\mo4Iutaba1.exe" /f
Внедряет код в
следующие системные процессы:
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\v5rcZH\mauv.dll
- %APPDATA%\explorer\logs.dat
- %TEMP%\v5rcZH\7F6eoz.exe
- %TEMP%\v5rcZH\x
Сетевая активность:
Подключается к:
- 'up#####indows.zapto.org':2404
UDP:
- DNS ASK up#####indows.zapto.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
