Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'ChromeUpdate' = 'cmd /c "start "ChromeUpdate" "%ProgramFiles%\ChromeUpdate\ChromeUpdate.exe"'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
следующие пользовательские процессы:
- fsav32.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Monitor\Screenshots\01-11-2018\2.23 AM
- %ProgramFiles%\ChromeUpdate\ChromeUpdate.exe
Сетевая активность:
Подключается к:
- 'te######k.altenkerman.com':8888
UDP:
- DNS ASK te######k.altenkerman.com
Другое:
Создает и запускает на исполнение:
- '<Полный путь к файлу>'
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" /v "ChromeUpdate" /d "cmd /c """start """ChromeUpdate""" """%ProgramFiles%\ChromeUpdate\ChromeUpdate.exe"""" /f"
