Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%PROGRAMDATA%\gfhogrv.exe'
Внедряет код в
следующие пользовательские процессы:
- nvlut.exe
Изменения в файловой системе
Создает следующие файлы
- %PROGRAMDATA%\gfhogrv.exe
- %APPDATA%\microsoft\windows\cookies\user@google[1].txt
- %PROGRAMDATA%\0
- %PROGRAMDATA%\cd11e6820c\nvlut.exe
Сетевая активность
Подключается к
- 'do#########ocs.googleusercontent.com':443
TCP
Запросы HTTP GET
- http://do#######9827323724423823.ru/KYSTBANEN.exe
UDP
- DNS ASK do#######9827323724423823.ru
- DNS ASK do#########ocs.googleusercontent.com
Другое
Создает и запускает на исполнение
- '%PROGRAMDATA%\cd11e6820c\nvlut.exe'
- '%PROGRAMDATA%\gfhogrv.exe' ' (со скрытым окном)
Использует альтернативные потоки данных NTFS
