Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'Snekken7' = '%HOMEPATH%\Hyperleuco\rverhv.exe'
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\microsoft\windows\templates\nnbflzjyl.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\windows\templates\nnbflzjyl.exe
- %HOMEPATH%\hyperleuco\rverhv.exe
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\run.dat
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\catalog.dat
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\storage.dat
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\settings.bin
Сетевая активность
TCP
- 'ni####xitupd.biz.pl':443
- 'gr#####p.duckdns.org':53778
- 'vi######reico.viewdns.net':53778
UDP
- DNS ASK ni####xitupd.biz.pl
- DNS ASK gr#####p.duckdns.org
- DNS ASK vi######reico.viewdns.net
Другое
Создает и запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v2.0.50727\regasm.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v2.0.50727\regasm.exe'
