Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'SHELL' = 'EXPLORER.EXE,"<Полный путь к файлу>"'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Monitor\Screenshots\03-12-2018\7.14 AM
- %TEMP%\15291931.3kze43n2ViaRu.png
- %APPDATA%\Google Chrome\Chrome.EXE
Сетевая активность:
Подключается к:
- 'yo####pet.ddns.net':2049
UDP:
- DNS ASK yo####pet.ddns.net
Другое:
Ищет следующие окна:
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe'
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %TEMP%\15291931.3kze43n2ViaRu.png
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe' /logtoconsole=false /logfile= /u "<Полный путь к файлу>"
