Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\0g3k2gvco2riue05xh
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /im <Имя файла>.exe /f
Изменения в файловой системе
Создает следующие файлы
- %PROGRAMDATA%\{u3h12wl5-nxoj-42mp-ozc47a66bi75}\iexplore.exe
Сетевая активность
TCP
Запросы HTTP POST
- http://l9####v9.beget.tech/gate/connection.php
- http://l9####v9.beget.tech/gate/create.php
- http://l9####v9.beget.tech/gate/config.php
- http://l9####v9.beget.tech/gate/update.php
UDP
- DNS ASK l9####v9.beget.tech
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%PROGRAMDATA%\{u3h12wl5-nxoj-42mp-ozc47a66bi75}\iexplore.exe'
- '%PROGRAMDATA%\{u3h12wl5-nxoj-42mp-ozc47a66bi75}\iexplore.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /SC MINUTE /MO 15 /TN "0G3K2GVCO2RIUE05XH" /TR "%PROGRAMDATA%\{U3H12WL5-NXOJ-42MP-OZC47A66BI75}\iexplore.exe" /F' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /im <Имя файла>.exe /f & erase 0nQ & exit' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Create /SC MINUTE /MO 15 /TN "0G3K2GVCO2RIUE05XH" /TR "%PROGRAMDATA%\{U3H12WL5-NXOJ-42MP-OZC47A66BI75}\iexplore.exe" /F
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /im <Имя файла>.exe /f & erase 0nQ & exit
Использует альтернативные потоки данных NTFS
