Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'AutoStart' = 'rundll32.exe %PROGRAMDATA%\Exchange.dll,Start'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c start /b %PROGRAMDATA%\tt.bat
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Start-Process rundll32.exe %PROGRAMDATA%\Exchange.dll,Start
Изменения в файловой системе
Создает следующие файлы
- %PROGRAMDATA%\exchange.dll
- %PROGRAMDATA%\tt.bat
- %PROGRAMDATA%\t.txt
Сетевая активность
UDP
- DNS ASK 00####################AEDCE041D6CF10080000000000000WzK:eCNe24.googlechromeupdate.ga
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /K %PROGRAMDATA%\tt.bat
- '<SYSTEM32>\reg.exe' ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v AutoStart /t REG_SZ /d "rundll32.exe %PROGRAMDATA%\Exchange.dll,Start"
- '<SYSTEM32>\rundll32.exe' %PROGRAMDATA%\Exchange.dll Start
