Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] 'NetWire' = '%APPDATA%\Install\Host.exe'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{OCP3V85B-15UB-6C01-O4Q2-SDT76BAWRI30}] 'StubPath' = '"%APPDATA%\Install\Host.exe"'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- host.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\install\host.exe
Сетевая активность
Подключается к
- 'pl####.duckdns.org':32123
TCP
Запросы HTTP GET
- http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/02FAF3E291435468607857694DF5E45B68851868.crt
- http://oc##.#ectigo.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRDC9IOTxN6GmyRjyTl2n4yTUczyAQUjYxexFStiuF36Zv5mwXhuAGNYeECECUTgfQsc%2BcBwNBMQNWQl0M%3D
UDP
- DNS ASK me###fire.com
- DNS ASK oc##.#ectigo.com
- DNS ASK do######2267.mediafire.com
- DNS ASK pl####.duckdns.org
Другое
Создает и запускает на исполнение
- '%APPDATA%\install\host.exe'
