Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Defender' = '%TEMP%\ÙÓÆßÒ.exe'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'dll' = '%APPDATA%\dll\svchost32.exe'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = 'userinit.exe%APPDATA%\dll\svchost32.exe,'
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Defender' = '%APPDATA%\dll\svchost32.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ùóæßò.exe
- %TEMP%\winhost.exe
- nul
- %APPDATA%\dll\svchost32.exe
- unc\bmzrgij\users\winadmin-setup.exe
Самоудаляется.
Сетевая активность
UDP
- DNS ASK cr###.hopto.org
Другое
Создает и запускает на исполнение
- '%TEMP%\ùóæßò.exe'
- '%APPDATA%\dll\svchost32.exe'
- '%WINDIR%\syswow64\cmd.exe' /C ping 1.1.1.1 -n 1 -w 1000 > Nul & Del "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C ping 1.1.1.1 -n 1 -w 1000 > Nul & Del "<Полный путь к файлу>"
- '%WINDIR%\syswow64\ping.exe' 1.1.1.1 -n 1 -w 1000
