Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '2f81b690c2fee4725ed473139432eaed' = '"%TEMP%\serie exercice.exe" ..'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '2f81b690c2fee4725ed473139432eaed' = '"%TEMP%\serie exercice.exe" ..'
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\serie exercice.exe" "serie exercice.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\test\rufus-3.8.exe
- %ProgramFiles(x86)%\test\vicswors.vbs
- %TEMP%\rufb056.tmp
- %WINDIR%\syswow64\grouppolicy\gpt.ini
- %LOCALAPPDATA%\tempwinlogon.exe
- %TEMP%\serie exercice.exe
Сетевая активность
TCP
- '9l###.ddns.net':44444
UDP
- DNS ASK 9l###.ddns.net
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\test\rufus-3.8.exe'
- '%WINDIR%\syswow64\wscript.exe' "%ProgramFiles(x86)%\test\vicswors.vbs"
- '%LOCALAPPDATA%\tempwinlogon.exe'
- '%TEMP%\serie exercice.exe'
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\serie exercice.exe" "serie exercice.exe" ENABLE' (со скрытым окном)
