Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\61b1aca0bc9034e3378c1c9785780a10.exe
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%APPDATA%\adrenaline.exe' = '%APPDATA%\adrenaline.exe:*:Enabled:adrena...
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%APPDATA%\adrenaline.exe" "adrenaline.exe" ENABLE
Внедряет код в
следующие пользовательские процессы:
- adrenaline.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\adrenaline.exe
- %TEMP%\aNNNNN.xml
- %TEMP%\LoMkjwQ.exe
- %TEMP%\aGGGGG.xml
Удаляет следующие файлы:
- %TEMP%\aNNNNN.xml
- %TEMP%\aGGGGG.xml
Сетевая активность:
Подключается к:
- 'ar#####l.duckdns.org':1177
UDP:
- DNS ASK ar#####l.duckdns.org
Другое:
Создает и запускает на исполнение:
- '%APPDATA%\adrenaline.exe'
- '<Полный путь к файлу>'
Запускает на исполнение:
- '<SYSTEM32>\schtasks.exe' /Create /TN "Update\HwgugQ" /XML "%TEMP%\aNNNNN.xml"
- '<SYSTEM32>\schtasks.exe' /Create /TN "Update\HwgugQ" /XML "%TEMP%\aGGGGG.xml"
