Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'udplacered' = '%HOMEPATH%\Ddslejersamino\Unhelpingh7.vbs'
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\908.exe'
Внедряет код в
следующие пользовательские процессы:
- unhelpingh7.exe
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\inetcookies\20gelqk9.txt
- C:\users\public\908.exe
- %HOMEPATH%\ddslejersamino\unhelpingh7.exe
- %HOMEPATH%\ddslejersamino\unhelpingh7.vbs
Сетевая активность
TCP
Запросы HTTP GET
- http://bi#.ly/3dfDUEu
UDP
- DNS ASK bi#.ly
- DNS ASK so####rion.com.ar
- DNS ASK pr######usmoney.duckdns.org
- '::####:224.0.0.252':5355
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\ddslejersamino\unhelpingh7.exe'
Запускает на исполнение
- '%CommonProgramFiles(x86)%\microsoft shared\equation\eqnedt32.exe' -Embedding
