Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'spacessp' = '%LOCALAPPDATA%\storespmgr.exe'
Вредоносные функции
Загружает и запускает на исполнение
- http://me##le.com/cd/sp.exe как %appdata%\putty.exe
Внедряет код в
следующие пользовательские процессы:
- storespmgr.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghghghghВЈ.sct
- %PROGRAMDATA%\hrjytrj.cmd
- %APPDATA%\putty.exe
- %LOCALAPPDATA%\storespmgr.exe
- %APPDATA%\remcos\logs.dat
Сетевая активность
Подключается к
- 'al###1.ddns.net':3535
TCP
Запросы HTTP GET
- http://me##le.com/cd/sp.exe
UDP
- DNS ASK me##le.com
- DNS ASK al###1.ddns.net
Другое
Создает и запускает на исполнение
- '%APPDATA%\putty.exe'
- '%LOCALAPPDATA%\storespmgr.exe'
- '%WINDIR%\syswow64\cmd.exe' /c copy "%APPDATA%\putty.exe" "%LOCALAPPDATA%\storespmgr.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c, "%LOCALAPPDATA%\storespmgr.exe"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy "%APPDATA%\putty.exe" "%LOCALAPPDATA%\storespmgr.exe"
- '%WINDIR%\syswow64\cmd.exe' /c, "%LOCALAPPDATA%\storespmgr.exe"
